Ботнет DirtyMoe обзавелся червеобразным модулем для быстрого распространения

Вредоносное ПО под названием DirtyMoe получило новые возможности червеобразного распространения, которые позволяют ему расширять свою сферу действия, не требуя какого-либо взаимодействия с пользователем.

«Модуль использует старые известные уязвимости, например, EternalBlue и уязвимость повышения привилегий Windows Hot Potato. Один червеобразный модуль может генерировать и атаковать сотни тысяч частных и общедоступных IP-адресов в день. Многие компании подвержены рискам атак, поскольку все еще используют непропатченные системы или ненадежные пароли», — сказал специалист Мартин Хлумецки (Martin Chlumecky) из Avast.

Ботнет DirtyMoe с 2016 года используется для проведения криптоджекинга и распределенных атак типа «отказ в обслуживании» (DDoS). Вредонос развертывается с помощью внешних наборов эксплоитов, таких как PurpleFox, или внедренных установщиков Telegram Messenger.

В ходе атак также используется служба DirtyMoe, запускающая два дополнительных процесса (Core и Executioner) для загрузки модулей майнинга криптовалюты Monero и червеобразного распространения вредоносного ПО.

Модули атакуют компьютеры, используя несколько уязвимостей для установки вредоносного ПО, при этом каждый модуль нацелен на конкретную уязвимость:

• CVE-2019-9082: ThinkPHP — RCE-уязвимость;

• CVE-2019-2725: Oracle Weblogic Server — RCE-уязвимость десериализации AsyncResponseService;

• CVE-2019-1458: Уязвимость повышения локальных привилегий WizardOpium;

• CVE-2018-0147: Уязвимость десериализации;

• CVE-2017-0144: RCE-уязвимость EternalBlue SMB (MS17-010);

• MS15-076: Уязвимость повышения привилегий Hot Potato Windows.

Основная цель червеобразного модуля червя — получить возможность удаленного выполнения кода с правами администратора и установить новый экземпляр DirtyMoe. Одной из основных функций компонента является создание списка IP-адресов для атаки на основе геологического местоположения модуля.