چهار بهرهجو برای استخراج Monero
محققان شرکت F5 از فعالیت کارزاری با عنوان Zealot خبر دادهاند که مهاجمان آن با بکارگیری بهرهجوها (Exploit) و روشهای پیشرفته اقدام به آلوده نمودن سرورهای با سیستم عامل Windows و Linux میکنند.
در حال حاضر بدافزار مورد استفاده این گروه، از طریق دستگاه آلوده شده پول دیجیتالی Monero را استخراج میکند.
این مهاجمان با پویش اینترنت دستگاههای حاوی هر یک از آسیبپذیریهای Apache Struts – با شناسه CVE-2017-5638 – و DotNetNuke ASP.NET CMS – با شناسه CVE-2017-9822 – را کشف کرده و سپس با بکارگیری ابزارهای مجهز به بهرهجوی این آسیبپذیریها برای رخنه به دستگاههای شناسایی شده – صرف نظر از Windows یا Linux بودن سیستم عامل آنها – تلاش میکنند.
Apache Struts همان ضعف امنیتی است که حدود یک سال قبل برای رخته به Equifax – غول مالی آمریکا – مورد استفاده هکرها قرار گرفته بود. در بهار امسال هم گروهی هکر با بهرهجویی از همین آسیبپذیری اقدام به نصب باجافزار بر روی سرورهای Struts کردند و توانستند تا از این طریق بیش از 100 هزار دلار اخاذی کنند.
مهاجمان Zealot پس آلوده نمودن دستگاه متصل به اینترنت، از دو بهرهجوی دیگر معروف به EternalBlue و EternalSynergy برای آلوده نمودن سایر دستگاههای شبکه استفاده میکنند.
هر دوی این بهرهجوها در اوایل امسال و در جریان انتشار فایلهای سرقت شده از یک گروه نفوذگر حرفهای با نام Equation – که وابستگی اثبات شدهای به سازمان امنیت ملی دولت آمریکا دارد – توسط گروه Shadow Brokers در اختیار عموم قرار گرفته بودند.
مهاجمان Zealot در آخرین مرحله از آلودهسازی دستگاههای Windows با استفاده از پروسه مجاز PowerShell اقدام به نصب بدافزاری بر روی دستگاه قربانی می کنند. وظیفه این بدافزار استخراج پول دیجیتالی Monero است.
در سیستم عامل Linux نیز از اسکریپتهای Python برای نصب بدافزاری مشابه استفاده میشود.
به گزارش شرکت مهندسی شبکه گستر، در پولهای دیجیتال، فرآیندی با عنوان استخراج (Mining) وجود دارد که یکی از اصلیترین وظیفه آن تایید اطلاعات تبادل شده در شبکه این واحدهای پولی است. فرآیند استخراج مستلزم فراهم بودن توان پردازشی بسیار بالاست. در نتیجه شبکه واحد دیجیتال – در اینجا Monero – نیز در قبال تلاشی که برای این پردازشها انجام میشود به استخراجکنندگان پاداشی اختصاص میدهد.
با توجه به نیاز به توان پردازش بالا، انجام استخراج میتواند یک سرمایهگذاری هزینهبر برای استخراجکننده باشد. اما برنامه های ناخواسته موسوم به Cryptocurrency Miner با بهرهگیری از توان پردازشی دستگاههای آلوده به خود از آنها بهمنظور سودرسانی به نویسنده یا نویسندگان برنامه سوءاستفاده میکنند.
بر اساس تحقیقات انجام شده توسط محققان F5، مهاجمان این کارزار از این طریق حداقل 8500 دلار به جیب زدهاند.
هر چند که مهاجمان قادرند در هر زمان براحتی این بدافزار را با بدافزارهایی به مراتب مخرب تر جایگزین کنند.
همانطور که اشاره شد در این کارزار، آلودهسازی از طریق ابزارهای بهرهجو و سوءاستفاده از آسیبپذیریهای امنیتی صورت میپذیرد. اطمینان از نصب بودن تمامی اصلاحیههای امنیتی سیستم عامل و نرمافزارهای نصب شده بر روی دستگاهها بهمراه استفاده از ابزارهای دیواره آتش مجهز به نفوذیاب بخصوص برای حفاظت از سرورهای متصل به اینترنت نقشی بسیار مؤثر برای ایمن ماندن از گزند این نوع حملات دارند.