MTI
Главная  > Новости  > Исследователи кибербезопасности TrendMicro разоблачили вредоносное...
Исследователи кибербезопасности TrendMicro разоблачили вредоносное ПО BlackSquid

18.06.2019

Новое и действующее вредоносное ПО известное как BlackSquid обнаружили специалисты из Trend Micro.
 
Телеметрия Trend Micro в последнюю неделю мая и первую неделю июня зафиксировала огромное количество атак с использованием программного обеспечения BlackSquid в Таиланде и Соединенных Штатах.
 
Итак, что это такое? В первую очередь BlackSquid предназначен для добычи криптовалюты Monero на веб-сервере, сетевых и сменных накопителях. Все происходит тихо и незаметно посредством использования 8 эксплойтов, среди которых и EternalBlue (инструмент от Агентства Национальной Безопасности США). Еще довольно примечательным является то, что инструмент BlackSquid попадая в инфраструктуру жертвы сначала запускает инструмент анализа для того, чтобы проверить и выявить среду в которой находится - виртуальная машина или sandbox, и только потом начинает действовать. В случае, если BlackSquid попал в Sandbox - он просто перестает вести вредоносную деятельность.
 
BlackSquid, попадает в среду через уязвимости в веб-приложениях, используемых серверами и с помощью API GetTickCount, выбирает IP-адреса доступных серверов и компрометирует их с помощью эксплойтов и брутфорса. Далее анализирует железо, идентифицирует какой видеоадаптер используется NVIDIA или AMD и начинает майнить криптовалюту Monero с помощью предварительно загруженных модулей XMRing. BlackSquid находится на стадии разработки и также позволяет повышать свои права в целевой системе, воровать конфиденциальные данные и т.д.
 
Защитить от подобного программного обеспечения помогут продукты из линейки Trend Micro ™ TippingPoint ™ с помощью фильтров MainlineDV:
• 2383: CVE-2017-0144 – Remote Code Execution – SMB (Request)
• 2390: EQUATED – SMB (Response)
• 2498: CVE-2017-12615 – APACHE TOMCAT Remote Code Execution via JSP Upload – HTTP (Request)
• 2722: CVE-2017-0146 – Remote Code Execution – SMB (Request)
• 2786: ThinkPHP 5x Remote Code Execution – HTTP (Request)
• 2922: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit – HTTP (Request)
• 2923: BLASQUI Webshell – HTTP (Request)
• 3227: CVE-2014-6287 Rejetto HttpFileServer RCE Exploit – HTTP (Request)
• 3228: BLASQUI Webshell – HTTP (Request)
• 3229: ThinkPHP 5x Remote Code Execution – HTTP (Request)

Обращаем Ваше внимание, что 
продукты из линейки Trend Micro ™ TippingPoint ™ доступны к заказу в МТІ.

С оригиналом отчета от Trend Micro Вы сможете ознакомиться по ссылке:
https://blog.trendmicro.com/trendlabs-security-intelligence/blacksquid-slithers-into-servers-and-drives-with-8-notorious-exploits-to-drop-xmrig-miner/
https://btcmanager.com/blacksquid-malware-exploiting-web-servers-mine-monero/?q=/blacksquid-malware-exploiting-web-servers-mine-monero/&