ویندوزسرورها برای استخراج رمز-ارز مورد هدف قرار می‌گیرند

خلاصه: هکرها از یک آسیب‌پذیری در IIS 6.0 برای در دست گرفتن کنترل ویندوز سرورها و نصب یک بدافزار استخراج رمز-ارز Electroneum استفاده می‌کنند. به‌گفته‌ی متخصصان، عامل تهدید از CVE-2017.7269 برای ارسال شل‌کدی استفاده می‌کند که یک reverse shell را بر روی میزبان‌های آسیب‌پذیر نصب می‌کند. سپس مهاجمان از reverse shell برای دانلود ماینر و شروع فرآیند استخراج استفاده می‌کنند. فرآیند آلودگی با استفاده از تکنیک Squiblydoo پنهان می‌شود.

هکرها از یک آسیب‌پذیری IIS 6.0 برای در دست گرفتن کنترل ویندوز سرورها و نصب یک بدافزار استخراج رمز-ارز Electroneum استفاده می‌کنند.

هکرها از CVE-2017-7269 برای گرفتن کنترل سرورها استفاده می‌کنند. این شناسه مربوط به یک آسیب‌پذیری است که توسط دو محقق چینی کشف شد و سرویس IIS WebDAV را تحت تاثیر قرار می‌دهد. این آسیب‌پذیری در زمان کشف، یک آسیب‌پذیری روز صفرم بود.

مایکروسافت در ابتدا برنامه‌ای برای رفع این آسیب‌پذیری نداشت چراکه سیستم‌عامل‌هایی که به‌طور پیشفرض با IIS 6.0 عرضه می‌شدند ویندوز سرور 2003 و ویندوز XP بودند. اما بالاخره در اواسط ژوئن 2017 وصله‌ای برای آن ارائه شد.

از آن به‌بعد این آسیب‌پذیری حداقل توسط یک عامل برای استخراج مونرو روی ویندوز سرورهایی که نسخه‌ی 6.0 IIS را اجرا می‌کنند، استفاده شد.

اکنون محققان گروه هکری دیگری را یافته‌اند که از اکسپلویت یکسانی استفاده می‌کند اما به‌جای مونرو، Electroneum استخراج می‌کند.

به‌گفته‌ی متخصصان، عامل تهدید از CVE-2017.7269 برای ارسال شل‌کدی استفاده می‌کند که یک reverse shell را بر روی میزبان‌های آسیب‌پذیر نصب می‌کند.

سپس مهاجمان از reverse shell برای دانلود ماینر و شروع فرآیند استخراج استفاده می‌کنند.  

فرآیند آلودگی با استفاده از تکنیک Squiblydoo پنهان می‌شود.