دانشمندان امنیت سایبری در موسسه ترندمیکرو از فعالیت باتنت MyKings در آسیا و اقیانوسیه خبر دادهاند که با اکسپویت شناختهشده EternalBlue در ارتباط است.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، پژوهشگران Trend Micro اخیرا فعالیتهای مخربی را کشف کردهاند که در حال گسترش باتنت است. حملات با اکسپویت شناختهشده EternalBlue در ارتباط هستند و در منطقه آسیا و اقیانوسیه گزارش شدهاند.
باتنت MyKings برای نخستینبار در سال ۲۰۱۷ شناسایی شد و تا اوایل سال ۲۰۱۸ بیش از ۵۰۰ هزار سیستم را آلوده کرد و معادل ۲,۳ میلیون دلار از طریق کاوش رمزارز بهدست آورد.
شناسایی فعالیتهای جدید بدافزار MyKings از آنجایی آغاز شد که در سیستمهای مورد بررسی Trend Micro، ارتباطاتی با آدرسهای زیر مشاهده شد:
• hxxp://js[.]mykings.top:۲۸۰/v[.]sct
• hxxp://js[.]mykings.top:۲۸۰/helloworld[.]msi
وجود عبارت mykings در URLها نشانگر ارتباط آنها با سرورهای فرمان و کنترل (C&C) بدافزار MyKings است.
بدافزار جدید نسبت به نمونه مشاهده شده در سال ۲۰۱۷ در چندین بخش تکامل یافتهاست. نمونه جدید کشفشده برخلاف نمونه قدیمی، علاوهبر استفاده از WMI برای کسب پایداری در سیستم از رجیستری، task scheduler و یک بوتکیت نیز استفاده میکند. بوتکیت از نام فایل lsmosee.exe یا s.rar بهره میبرد.
بدافزار یک فرایند پردازشی را در سیستم قربانی تزریق کرده که این فرایند یک shellcode را از سرور C&C دریافت میکند. فایل shellcode در نهایت آدرسی را به بدافزار معرفی میکند که منجر به بارگیری فایل upsupx.exe میشود. این فایل با نام conhost.exe ذخیره و اجرا میشود. فایل upsupx یا conhost دانلودکننده اصلی بدافزار است که لیست دیگری از سرورهای C&C و فایل kill.txt را دریافت و حاوی فرایندهای پردازشی است که بدافزار آنها را متوقف میکند.
بدافزار درنهایت از قدرت پردازشی سیستم قربانی به منظور کاوش رمزارز سوءاستفاده میکند. طبق گزارش Trend Micro، نفوذ اولیه و گسترش بدافزار از طریق اکسپلویت EternalBlue و WMI در ویندوز است.