Уязвимость SambaCry используется в атаках на сетевые хранилища
Неизвестные злоумышленники эксплуатируют уязвимость SambaCry для установки бэкдоров на Linux-устройствах, использующих старые версии файлообменного сервера Samba.
Подробности об уязвимости SambaCry, также известной как EternalRed (CVE-2017-7494), были раскрыты в мае текущего года. Спустя две недели после ее публичного раскрытия хакеры стали эксплуатировать уязвимость для заражения Linux-серверов майнером криптовалюты EternalMiner. Теперь эксперты Trend Micro обнаружили , что в атаках с эксплуатацией SambaCry также используется вредоносное ПО SHELLBIND.
SHELLBIND представляет собой простой бэкдор-троян, позволяющий удаленно открывать оболочку на инфицированных устройствах. Вредонос изменяет политики локального межсетевого экрана и открывает TCP-порт 61422, благодаря чему атакующий может подключаться к взломанному устройству. SHELLBIND сообщает своему оператору об успешном заражении, пингуя сервер 169[.]239[.]128[.]123 через порт 80. Атакующий извлекает новые IP-адреса из журнала сервера и вручную подключается к каждому инфицируемому хосту через порт 61422. Доступ к оболочке трояна защищен паролем, вшитым в код вредоноса.
В отличие от EternalMiner, инфицирующем в основном Linux-серверы, SHELLBIND был обнаружен преимущественно на сетевых хранилищах данных (NAS), хотя он заражал и другие устройства «Интернета вещей» (IoT).
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш
