Onderzoekers van Unit 42 hebben een nieuwe variant van hybride cryptojacking-malware ontdekt.
Bij nadere beschouwing bleek dat de malware, die Lucifer wordt genoemd, DDoS-aanvallen kan uitvoeren en goed is uitgerust met allerlei soorten exploits tegen kwetsbare Windows-hosts. De eerste golf van de campagne stopte op 10 juni 2020. De aanvaller hervatte vervolgens hun campagne op 11 juni 2020, verspreidde een geüpgradede versie van de malware en veroorzaakte grote schade. Op het moment van schrijven is de campagne nog steeds aan de gang.
Updaten en wachtwoorden
Hoewel de misbruikte kwetsbaarheden en aanvalstactieken die door deze malware worden gebruikt, niets origineels zijn, brengen ze opnieuw een bericht naar alle organisaties en herinneren hen eraan waarom het uiterst belangrijk is om systemen waar mogelijk up-to-date te houden, zwakke inloggegevens te elimineren.
Cryptojacking en brute force aanvallen
Lucifer is krachtig in zijn mogelijkheden. Het is niet alleen in staat om XMRig in te zetten voor het cryptojacken van Monero, het is ook in staat om als command and control (C2) te besturen en te beheersen door gebruik te maken van meerdere kwetsbaarheden en het brute forcing van logingegevens. Bovendien zet het EternalBlue-, EternalRomance- en DoublePulsar in bij kwetsbare doelen om het intranet te infecteren.
Kwetsbaarheden
De volledige lijst van exploits omvat CVE-2014-6287 , CVE-2018-1000861 , CVE-2017-10271 , ThinkPHP RCE-kwetsbaarheden (CVE-2018-20062) , CVE-2018-7600 , CVE-2017-9791 , CVE- 2019-9081 , PHPStudy Backdoor RCE , CVE-2017-0144 , CVE-2017-0145 en CVE-2017-8464. Deze kwetsbaarheden hebben ofwel "hoge" of "kritische" beoordelingen gekregen vanwege het exploiterende karakter en hun enorme impact op het slachtoffer. Eenmaal misbruikt, kan de aanvaller willekeurige opdrachten op het kwetsbare apparaat uitvoeren. In dit geval zijn de doelen Windows-hosts op zowel internet als intranet, aangezien de aanvaller het certutil- hulpprogramma in de payload gebruikt voor de verspreiding van malware. Gelukkig zijn de patches voor deze kwetsbaarheden direct beschikbaar.
De volledige analyse van het Lucifer-malware lees je hier (Engelstalig)
Bron: unit42