Campaña “Zealot” utiliza exploits de NSA para Minar Monero en servidores Windows y Linux

Zealot

Actualmente se está llevando a cabo una agresiva y sofisticada campaña de malware dirigida a servidores Linux y Windows con una variedad de exploits con el objetivo de instalar malware que explote la criptomoneda Monero.

La campaña fue detectada por investigadores de seguridad de F5 Networks, que la llamaron Zealot , después de zealot.zip, uno de los archivos que se incluyó en los servidores de destino.

Los atacantes están utilizando el mismo exploit utilizado para el hack de Equifax

Según Maxim Zavodchik y Liron Segal, dos investigadores de seguridad de F5 Networks, los atacantes están escaneando Internet en busca de servidores particulares y utilizando dos exploits, uno para Apache Struts (CVE-2017-5638) y otro para el CMS DotNetNuke ASP.NET ( CVE-2017-9822), para obtener un punto de apoyo en máquinas sin parchear.

La vulnerabilidad de Apache Struts es la misma falla que otros hackers utilizaron a principios de este año para violar al gigante financiero estadounidense Equifax . Además, un grupo criminal abusó de la misma falla en abril para apuntar a los servidores de Struts donde instalaron el ransomware del cual obtuvieron más de $ 100,000 en ese momento.

Para esta campaña, la falla de Struts incluía cargas útiles para apuntar tanto a máquinas Linux como a Windows al mismo tiempo.

En el caso de que los atacantes infectaran una máquina con Windows, los atacantes también desplegaron EternalBlue y EternalSynergy , dos exploraciones de la NSA filtradas por Shadow Brokers a principios de este año, que los atacantes usan para moverse lateralmente en la red local de la víctima e infectar incluso más sistemas.

En un momento posterior, usarían PowerShell para descargar e instalar el malware de la etapa final, el cual, para esta campaña, era un minero de Monero.

En Linux, los atacantes usarían scripts de Python que parecían tomarse del marco post-explotación de EmpireProject, y también instalarían el mismo minero de Monero.

Los hackers hicieron por lo menos $ 8,500 en Monero

Desde las direcciones de Monero, los investigadores de F5 recopilaron, los atacantes lograron al menos $ 8,500 de sus ataques, pero el grupo podría haber usado más billeteras Monero, lo que significa que la suma total podría ser mucho más alta.

Los expertos de F5 también señalaron que los atacantes podrían cambiar la carga útil de la etapa final a cualquier cosa que deseen, y el grupo podría pasar a instalar ransomware en un abrir y cerrar de ojos.

Como nota al margen, los atacantes parecen ser grandes admiradores de StarCraft, ya que muchos de los términos y nombres de archivo utilizados para esta campaña provienen del juego, como Zealot, Observer, Overlord, Raven y otros.

“El nivel de sofisticación que estamos observando actualmente en la campaña de Zealot nos está llevando a creer que la campaña fue desarrollada y dirigida por actores de amenazas a varios niveles por encima de los bots comunes”, dijeron Zavodchik y Segal, señalando el uso de una cadena de infección en el escenario, malware avanzado y personalizado, y atención para moverse lateralmente a través de las redes para infligir el máximo daño.

Fuente: bleepingcomputer

Anuncios


Categorías:Seguridad Informática y de la Información

Etiquetas:, , , , , , ,

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: