Odmah nakon izbijanja WannaCry ransomware kampanje, otkrivena je nova prijetnja koja iskorištava "EternalBlue" ranjivost. Radi se o računalnom crvu "EternalRocks" (poznat i pod nazivom "BlueDoom") koji se širi preko SMB protokola, no za razliku od WannaCry ransomware zlonamjernog programa, ovaj koristi 7 NSA-ovih alata (Architouch, Doublepulsar, Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy i Smbtouch).
Otkriveni računalni crv prvi je put primijećen prošloga tjedna u srijedu, nakon što je detektiran u SMB honeypot sustavu Miroslava Štampara, člana CERT tima Zavoda za sigurnost informacijskih sustava - ZSIS.
Za razliku od WannaCry, ovaj računalni crv nema implementiranu značajku "kill-switch". Trenutno nema mnogo zabilježenih uređaja zaraženih "EternalRocks" računalnim crvom, no ova se situacija može ubrzo promijeniti. "EternalRocks" koristi MS17-010 ranjivost za inicijalnu infekciju te preuzima Tor klijent za daljnju komunikaciju s upravljačim poslužiteljem (C&C) lociranom na .onion domeni, tzv. "Dark Web" šifriranoj mreži. Kada uspostavi vezu s C&C-om, računalni crv započinje s drugom fazom infekcije gdje preuzima drugu komponentu u obliku arhive naziva "shadowbrokers.zip". Trenutno nije poznata osnovna svrha i sadržaj (payload) koji ostavlja na zaraženom računalu pa se pretpostavlja kako je ovo samo priprema za pokretanje budućih zlonamjernih aktivnosti. Također koristi iste nazive datoteka kao i WannaCry s očitom namjerom prikrivanja od njegove detekcije.
Indikatori kompromitacije (IoCs) te više detalja o procesu infekcije dostupni su na GitHub repozitoriju Miroslava Štampara.
Nema komentara:
Objavi komentar
Poruka će biti vidljiva nakon provjere.