U3F1ZWV6ZTE1Njg4NDY3OTQ0X0FjdGl2YXRpb24xNzc3Mjg2OTg2NDQ=

Smominru Botnet اخترق 90،000 أجهزة الكمبيوتر ويندوز في الشهر الماضي باستخدام استغلال EternalBlue

Smominru Botnet اخترق 90،000 أجهزة الكمبيوتر ويندوز في الشهر الماضي باستخدام استغلال EternalBlue

إتقان الأخلاقية مع بيثون!
تهديدات الجهات الفاعلة وراء الروبوتات Smominru ما يقرب من 90،000 أجهزة الكمبيوتر ويندوز في الشهر الماضي باستخدام EternalBlue استغلال وتنفيذ هجمات القوة الغاشمة على خدمات MS-SQL ، RDP ، Telnet.
كشف الباحث أن الروبوتات أصابت أكثر من 4000 نظام ، وشبكة يوميا ، وسيطر عليها من خلال استغلال الثغرات الأمنية فى الأنظمة غير المرسومة.

Smominru الروبوتات التي تستهدف أصول بما فى ذلك الصين وتايوان وروسيا والبرازيل والولايات المتحدة حيث عدت الآلاف من النظم بما في ذلك المؤسسات التعليمية والشركات الطبية ، وحتى بعض شركات الأمن السيبراني.

مجرمو الإنترنت الذين لا يركزون على أي أهداف معينة ، فقد بدأوا الهجوم ووصلوا إلى ضحايا في مختلف القطاعات على كل نظام يعرض الخوادم للخطر.

يتم توزيع Smominru botnet مع إمكانيات الدودة ، لذلك إذا أصاب أحد أنظمة الشبكة ، فانتقل إلى شبكات أخرى في المؤسسة.

تقوم شركة الأمن السيبراني Guadicode بمشاركة التقارير مع GBHackers on Security وتقول: "خلال شهر واحد ، أصيب أكثر من 4900 شبكة بالديدان. كان لدى العديد من هذه الشبكات العشرات من الأجهزة الداخلية المصابة. تنتمي أكبر شبكة إلى أحد مقدمي الرعاية الصحية في إيطاليا مع ما مجموعه 65 مضيفًا مصابًا. 

اعتمادات الصورة: Guardicore
يعد نظاما التشغيل Windows 7 و Windows Server 2008 أكثر الأنظمة إصابة بعدوى 85٪ من هذه العدوى ، وهذه الإصدارات معرضة بدرجة كبيرة لاستغلال ExternalBlue.
كيف يصيب Smominru Botnet النظام؟
المهاجمون وراء Smoninru باستخدام البرنامج النصي Powershell المسمى blueps.txt  الذي يسقط الجهاز الضحية كمرحلة أولى من العدوى ويبدأ تنفيذ الثنائيات وأيضا أنه يؤدي عدة عمليات.
فى وقت لاحق ، يقوم بإنشاء مستخدم مسؤول جديد قام بتسمية admin $ وتنزيل البرامج النصية الإضافية لتنفيذ العملية الضارة.

كما أنه يفتح الباب الخلفي عدة من الجهاز المصاب لتنفيذ عملية مختلفة مثل المستخدمين المنشأ حديثا ، المهمة المجدولة.

يقوم Smominru botnet بتعطيل ومنع الحملات الأخرى الموجودة في الجهاز المصاب وحذف الملف المرتبط بالحملة الضارة الحالية.

اعتمادات الصورة: Guardicore

"أثناء عملية الإصابة ، يقوم الروبوتات بحظر العديد من منافذ TCP (SMB ، RPC) من أجل منع المهاجمين الآخرين من اختراق أجهزته المصابة".
Smominru Botnet دودة وحدة
كما ناقشنا أعلاه ، تحتوي الملفات الثنائية التي تم إسقاطها بواسطة blueps.txt على العديد من البرامج الضارة ، بما في ذلك تنزيل worm ( u.exe  /  ups.exe ) ، وحصان طروادة ( upsupx.exe ) وجذر MBR ( max.exe / ok). إكس ).
وحدة worm النمطية u.exe مسؤولة عن تنزيل DLL من خادم القيادة والتحكم لفحص الشبكة للعثور على نقاط الضعف والإبلاغ عن الهجوم.
مهاجم باستخدام البيانات لتخصيص الدودة وإضافة وتعديل وإزالة تقنيات الانتشار.
ووفقا لGuardicore البحوث ، الدودة هو ملف تنفيذى تحميلها كما  wpd.jpg  وحفظها محليا باسم  msinfo.exe . هذه هي الوحدة المسؤولة عن نشر الحمولات الخبيثة داخل الشبكة ، باستخدام EternalBlue المستندة إلى Python ، واستغلال القوة الغاشمة لخدمات Windows المتعددة ، مثل MS-SQL و Telnet و RDP والمزيد.

اعتمادات الصورة: Guardicore

ملف آخر قابل للتنفيذ يسقط طروادة مفتوحة المصدر باسم  PcShare  القادرة على التنزيل وتنفيذ الأوامر والسيطرة والتقاط لقطات الشاشة وسرقة المعلومات ، كما أنها تستخدم بشكل أساسي لتنزيل Monecrypto miner.
استخدم الفاعلون الذين يمثلون التهديد وراء هذا الهجوم ما يقرب من 20 خادمًا كجزء من الروبوتات ومعظم الخوادم المستضافة في الولايات المتحدة ، مع استضافة بعض مقدمي خدمات الإنترنت في ماليزيا وبلغاريا. 
"يعتمد انتشار Smominru اعتمادًا كبيرًا على كلمات مرور ضعيفة ، ولكنه يعتمد أيضًا على وجود الأجهزة الضعيفة EternalBlue. تسمح الأنظمة غير المدفوعة للحملة بإصابة عدد لا يحصى من الأجهزة في جميع أنحاء العالم والانتشار داخل الشبكات الداخلية. "يوصى بشدة بتحديث النظام وتطبيق التصحيح الضروري. وقال Guardcore. 
ليست هناك تعليقات
إرسال تعليق

إرسال تعليق

اذا اعجبك الموضوع علق بتعليق If you like the subject, comment on the comment