新的'PyRoMineIoT'恶意软件通过NSA传播

  • 时间:
  • 浏览:36
  • 来源:it300
新的'PyRoMineIoT'恶意软件通过NSA传播

最近发现的一种加密货币矿工恶意软件不仅滥用与国家安全局相关的远程代码执行漏洞进行传播,而且还滥用受感染的机器来扫描易受攻击的物联网(IoT)设备。

]

被称为PyRoMineIoT,该恶意软件类似于4月底详述的PyRoMine加密货币采矿者。我的Monero都是基于Python的,并且都使用EternalRomance漏洞进行传播(该漏洞在去年4月进行了修补)。

Fortinet的Jasper Manuel揭示的旧威胁已收到更新添加一些混淆,可能是为了逃避反病毒程序的检测。

最新的PyRoMine变种托管在同一个IP地址212 [。] 83.190 [。] 122,使用PyInstaller编译成独立的可执行文件,并继续使用Exploit数据库网站上的EternalRomance实现,与最初分析的变体相同。

成功利用后,下载了混淆的VBScript。 VBScript具有与以前使用的相同的功能,但具有更有组织的代码,并且还添加了版本号。

与之前相同,它设置了一个默认帐户,密码为[email protected]并添加帐户到本地组“管理员”,“远程桌面用户”和“用户”,之后它启用RDP并添加防火墙规则以允许端口3389上的流量。

VBScript还下载其他组件,包括Monero矿工(XMRig),但现在使用随机gen为这些文件添加了名称。该恶意软件试图从系统中删除旧版本的PyRoMine。

该恶意软件使用的一个池地址表明,演员们从他们的邪恶活动中制造了大约5个Monero(约850美元)。自4月份以来,恶意软件已经感染了大量系统,受影响最大的5个国家是新加坡,印度,台湾,科特迪瓦和澳大利亚。

新发现的PyRoMineIoT,Manuel说,类似于PyRoMine,因此命名相似。威胁来自“一个看起来很恶意的网站”,伪装成网络浏览器的安全更新。

虚假更新被下载为.zip档案,其中包含用C#编写的下载代理。此代理程序获取矿工文件和其他恶意组件,包括一个利用EternalRomance将下载程序传播到网络中易受攻击的计算机的基于Python的恶意软件。

该代理还提取一个组件来窃取Chrome的用户凭据,另一个用于扫描伊朗和沙特的物联网设备使用admin:admin用户名和密码对的阿拉伯。

EternalRomance实现使用与PyRoMine相同的代码库,并以类似的方式工作,收集本地子网的IP并迭代它们以执行有效负载。它使用用户名'aa'和空密码。

第二个组件是合法ChromePass工具的一部分,允许用户从Chrome浏览器恢复密码。作为这些攻击的一部分,它被滥用来窃取毫无戒心的用户的凭据:也是如此l以XML格式保存恢复的凭证,并将文件上传到DriveHQ云存储服务上的帐户(该帐户已被禁用)。

然而,此恶意软件最有趣的方面是其搜索能力对于易受攻击的物联网设备,但它仅针对伊朗和沙特阿拉伯的设备。威胁将发现的设备的IP信息发送给攻击者的服务器,据说是为进一步攻击做准备。

与PyRoMine一样,恶意软件在受感染的系统上下载XMRig矿工。然而,在检查了威胁使用的其中一个池地址之后,研究人员发现它还没有产生收入。然而,考虑到恶意软件仅在6月6日开始发布,这并不奇怪,2018年,这是一个未完成的项目。

“这一发展再次证实,恶意软件作者对加密货币挖掘以及捕获物联网威胁生态系统的大部分非常感兴趣。我们预测这种趋势不会很快消失,但只要有坏人通过瞄准易受攻击的机器和设备轻松赚钱的机会就会继续消失,“Fortinet总结道。

相关:MassMiner Attacks Web具有多种漏洞利用的服务器

相关:PyRoMine Crypto-Miner通过NSA-Linked漏洞传播

猜你喜欢

希腊最高法院批准俄罗斯对比特币嫌疑人的请求

希腊最高法院批准俄罗斯对比特币嫌疑人的请求希腊最高法院上周五表示,一名据称使用比特币数字货币洗钱40亿美元的俄罗斯人应该被引渡到俄罗斯,一位法院消息人士说。AlexanderV

2019-02-01

塑造美国网络防御的创造性破坏和自满情绪

塑造美国网络防御的创造性破坏和自满情绪创造性的破坏,思维的范式转换取代现有的秩序,可能是一个难以捉摸的概念,但它作为人类行为驱动力的力量是不可否认的。在硅谷和其他美国的高层科技

2019-02-01

为什么我(非常)担心PRISM

为什么我(非常)担心PRISM美国国家安全局正在利用我们的数字生活,监控语音电话,电子邮件,社交媒体以及谁知道什么。美国国家安全局方面的人说,这是为了国家安全;它已经停止了恐怖

2019-02-01

先发优势:为什么新的恶意软件最初会打败反恐

先发优势:为什么新的恶意软件最初会打败反恐虽然反病毒解决方案可以有效对抗广泛使用的恶意软件,但是有一个很好的机会,新的恶意软件会躲过那些解决方案。最近有重大安全事件的报告激增,

2019-02-01

台湾银行抢劫与朝鲜黑客有关

台湾银行抢劫与朝鲜黑客有关最近针对台湾一家银行的网络抢劫事件已被安全研究人员联系到一个据信在朝鲜境外活动的臭名昭着的威胁组织。黑客利用SWIFT全球金融网络大致窃取来自台湾远东

2019-02-01