خلاصه: هکرها از یک آسیبپذیری در IIS 6.0 برای در دست گرفتن کنترل ویندوز سرورها و نصب یک بدافزار استخراج رمز-ارز Electroneum استفاده میکنند. بهگفتهی متخصصان، عامل تهدید از CVE-2017.7269 برای ارسال شلکدی استفاده میکند که یک reverse shell را بر روی میزبانهای آسیبپذیر نصب میکند. سپس مهاجمان از reverse shell برای دانلود ماینر و شروع فرآیند استخراج استفاده میکنند. فرآیند آلودگی با استفاده از تکنیک Squiblydoo پنهان میشود.
هکرها از یک آسیبپذیری IIS 6.0 برای در دست گرفتن کنترل ویندوز سرورها و نصب یک بدافزار استخراج رمز-ارز Electroneum استفاده میکنند.
هکرها از CVE-2017-7269 برای گرفتن کنترل سرورها استفاده میکنند. این شناسه مربوط به یک آسیبپذیری است که توسط دو محقق چینی کشف شد و سرویس IIS WebDAV را تحت تاثیر قرار میدهد. این آسیبپذیری در زمان کشف، یک آسیبپذیری روز صفرم بود.
مایکروسافت در ابتدا برنامهای برای رفع این آسیبپذیری نداشت چراکه سیستمعاملهایی که بهطور پیشفرض با IIS 6.0 عرضه میشدند ویندوز سرور ۲۰۰۳ و ویندوز XP بودند. اما بالاخره در اواسط ژوئن ۲۰۱۷ وصلهای برای آن ارائه شد.
از آن بهبعد این آسیبپذیری حداقل توسط یک عامل برای استخراج مونرو روی ویندوز سرورهایی که نسخهی ۶.۰ IIS را اجرا میکنند، استفاده شد.
اکنون محققان گروه هکری دیگری را یافتهاند که از اکسپلویت یکسانی استفاده میکند اما بهجای مونرو، Electroneum استخراج میکند.
بهگفتهی متخصصان، عامل تهدید از CVE-2017.7269 برای ارسال شلکدی استفاده میکند که یک reverse shell را بر روی میزبانهای آسیبپذیر نصب میکند.
سپس مهاجمان از reverse shell برای دانلود ماینر و شروع فرآیند استخراج استفاده میکنند.
فرآیند آلودگی با استفاده از تکنیک Squiblydoo پنهان میشود.
