Кампания фанатика

Zealot Campaign — это вредоносное ПО для майнинга криптовалюты , собранное из серии украденных эксплойтов Агентства национальной безопасности (АНБ), выпущенное группой Shadow Brokers на компьютерах под управлением Windows и Linux для добычи криптовалюты, в частности Monero . ^{[1] [2]} Эти эксплойты, обнаруженные в декабре 2017 года, появились в пакете Zealot и включают в себя EternalBlue , EternalSynergy и эксплойт атаки Apache Struts Jakarta Multipart Parser, или CVE . 2017-5638 . ^{[3] [2]} Другой заметный эксплойт среди уязвимостей Zealot включает уязвимость CVE — 2017-9822 , известный как DotNetNuke (DNN), который использует систему управления контентом, чтобы пользователь мог установить программное обеспечение для майнинга Monero. По оценкам, на одном целевом компьютере было добыто Monero на сумму 8500 долларов США. ^{[4] [5] [2]} Кампания была обнаружена и тщательно изучена F5 Networks в декабре 2017 года. ^{[3] [6] [7]}

Поскольку многие из эксплойтов Zealot просочились из АНБ, этот вредоносный пакет широко описывается как имеющий «необычайно большую скрытую полезную нагрузку», что означает, что эксплойт работает на нескольких уровнях для атаки на уязвимые серверные системы, нанося большой ущерб. ^[4] Термин «Зилот» заимствован из серии StarCraft и обозначает тип воина. ^[8]

Эта многоуровневая атака начинается с двух HTTP- запросов, используемых для сканирования и определения уязвимых систем в сети. Подобные атаки в прошлом были нацелены только на системы на базе Windows или Linux, однако Zealot выделяется тем, что был готов к обоим с помощью своей версии эксплойта Apache Struts и использования DNN . ^[9]

После того как операционная система (ОС) идентифицирована с помощью JavaScript, вредоносное ПО загружает цепочки эксплойтов, специфичные для ОС:

Если целевая система работает под управлением Linux или macOS , полезная нагрузка Struts установит агент Python на этапе после эксплуатации. После проверки целевой системы на предмет заражения она затем загружает программное обеспечение для майнинга криптовалюты, часто называемое «мул». После этого он запутывает встроенный код Python для обработки. ^[9] В отличие от других вредоносных программ ботнетов, кампании Zealot запрашивают специфичные для сервера Command & Control (C&C) заголовки User-Agent и Cookie, а это означает, что любой, кроме вредоносного ПО, получит другой ответ. ^[9] Из-за шифрования Zealot с помощью шифра RC4, см. ниже, большинство программ для проверки сети и обеспечения безопасности могли видеть, что вредоносное ПО находится в сети, но не могли его сканировать. ^[9]

Если целевой ОС является Windows, полезные данные Struts загружают закодированный интерпретатор PowerShell. После двухкратного декодирования программа запускает еще один запутанный сценарий, который, в свою очередь, приводит устройство к URL-адресу для загрузки дополнительных файлов. ^[9] Этот файл, известный как сценарий PowerShell «scv.ps1», представляет собой сильно запутанный сценарий, который позволяет злоумышленнику развернуть программное обеспечение для майнинга на целевом устройстве. Развернутое программное обеспечение также может использовать вредоносное ПО для майнинга библиотеки динамической компоновки (DLL), которое развертывается с использованием метода отражающего внедрения DLL для прикрепления вредоносного ПО к самой обработке PowerShell, чтобы оставаться незамеченным. ^[9]

Прежде чем перейти к следующему этапу, программа также проверяет, активен ли брандмауэр. Если да, он будет передавать встроенный код Python в base64, чтобы обойти брандмауэр. Другое возможное решение известно как « Маленький стукач », которое, возможно, отключит брандмауэр, если он активен. ^[9]

На этапе постэксплуатации программа сканирует целевую систему на наличие Python 2.7 или выше, если он не найден в системе, то загрузит его. После этого он загружает модуль Python (probe.py) для распространения по сети. Сам сценарий сильно запутан базовым шифрованием base64, а затем архивируется до 20 раз. ^[9] Загруженный zip-файл может иметь несколько итераций, каждая из которых взята из игры StarCraft. Включенные файлы перечислены ниже:

• Zealot.py – основной скрипт, выполняющий эксплойты EternalBlue и EternalSynergy, см. ниже.
• A0.py — эксплойт EternalSynergy со встроенным шеллкодом для Windows 7.
• A1.py — эксплойт EternalBlue для Windows 7, получает в качестве аргумента шеллкод.
• A2.py — эксплойт EternalBlue для Windows 8, получает в качестве аргумента шеллкод.
• M.py — оболочка протокола SMB
• Raven64.exe – сканирует внутреннюю сеть через порт 445 и вызывает файлы zealot.py. ^[9]

После успешного запуска всех этих файлов запускается программное обеспечение майнера.

Этот сценарий PowerShell, известный как вредоносное ПО «мул», в сжатых файлах, загружаемых и выполняемых с помощью эксплойта EternalSynergy, называется «minerd_n.PS2». ^[9] Затем программное обеспечение использует оборудование целевой системы для майнинга криптовалюты. Сообщается, что это программное обеспечение для майнинга украло около 8500 долларов США у одной жертвы, однако исследователи до сих пор предполагают общее количество добытых Monero. ^[9]

Первоначально использованный в атаке программы-вымогателя WannaCry в 2017 году, этот эксплойт был специально использован в качестве программного обеспечения для майнинга в кампании Zealot. ^[8]

Хотя об этом эксплойте известно немного, он использовался в сотрудничестве с EternalBlue вместе с другими эксплойтами в кампании Zealot и других. В частности, EternalSynergy участвовала во взломе Equifax, вымогательстве WannaCry и кампаниях по майнингу криптовалюты. ^[2]

Система управления контентом на основе ASP.NET, DNN (ранее DotNetNuke) отправляет сериализованный объект через уязвимый файл cookie DNNPersonalization на этапе HTTP-запроса. ^[9] Используя «ObjectDataProvider» и «ObjectStateFormatter», злоумышленник затем встраивает другой объект в систему оболочки жертвы. ^[9] Эта вызванная система оболочки затем доставит тот же сценарий, который был доставлен в эксплойте Apache Struts. DNN действует как вторичная резервная копия для злоумышленников на случай, если эксплойт Apache Struts потерпит неудачу. ^{[ нужна ссылка ]}

Этот эксплойт, используемый для доставки сценария PowerShell для инициации атаки, является одним из двух HTTP-запросов, отправляемых на начальном этапе заражения. ^[9] Среди первых обнаруженных эксплойтов кампании Zealot эксплойт Jakarta Parser позволил хакерам использовать уязвимость «нулевого дня» в программном обеспечении для взлома финансовой фирмы Equifax в марте 2017 года. ^{[9] [10]} Этот конкретный эксплойт был самым заметным и публичным из эксплойтов, поскольку он использовался в широко публичном случае и продолжал использоваться до декабря 2017 года, когда эксплойт был исправлен. ^[9]

Базирующаяся в Бангладеш группа использовала метод целевого фишинга, известный как компрометация деловой электронной почты (BCE), для кражи криптовалюты у ничего не подозревающих сотрудников. ^[5] Lazarus в первую очередь был нацелен на сотрудников криптовалютных финансовых организаций, что было выполнено с помощью документа Word, утверждающего, что это легитимная европейская компания. ^[11] Когда документ открывался, встроенный троянский вирус загружался на системный компьютер и начинал красть учетные данные и другое вредоносное ПО. Хотя конкретная вредоносная программа до сих пор неизвестна, она действительно связана с вредоносной программой Zealot. ^[9]

Среди нескольких эксплойтов, связанных с утечкой данных Equifax в марте 2017 года, в атаке на серверы активно участвовали Jakarta Parser, EternalBlue и EternalSynergy. Вместо программного обеспечения, которое использовалось для майнинга криптовалюты, оно использовалось для майнинга данных более чем 130 миллионов клиентов Equifax. ^[10]