با ما به‌روز باشید!
info[at]nsec.ir
(+98)-313-3915336

بدافزار چندکاره‌ی Xbash با قابلیت توزیع خودکار

خلاصه: بدافزار جدیدی به‌نام Xbash که تمامی قابلیت‌های باج‌افزار، استخراج رمز-ارز، بات‌نت و انتشار خودکار را ترکیب کرده است، سیستم‌های لینوکسی و ویندوزی را هدف قرار می‌دهد. Xbash از یک لیست آدرس IP و دامنه‌ی فراهم‌شده توسط سرور کنترل و فرمان خود برای اسکن پورت‌های باز خاص، مجوزهای ضعیف یا سه آسیب‌پذیری شناخته‌شده در هدوپ، Redis و ActiveMQ استفاده می‌کند. گفته می‌شود بدافزارهای ماژولار و چندکاره برای سازمان‌ها به یک تهدید جدید تبدیل شده‌اند که برای دفاع در مقابل آ‌ن‌ها به رویکردهای دفاعی سطح بالاتری نیاز است.
 

بدافزار جدیدی که تمامی قابلیت‌های باج‌افزار، استخراج رمز-ارز، بات‌نت و انتشار خودکار را ترکیب کرده است، سیستم‌های لینوکسی و ویندوزی را هدف قرار می‌دهد.

این بدافزار که محققان پالوآلتو آن را Xbash نامیده‌اند ویندوزسرور‌ها و لینوکس را هدف قرار می‌دهد و حاوی قابلیت‌هایی است که بعد از اجرای کامل کمک می‌کنند تا به‌سرعت در یک شبکه‌ی سازمانی توزیع شود.

به‌گفته‌ی محققان پالوآلتو، تحلیل‌ها نشان می‌دهد که این بدافزار سرورهای لینوکسی را با قابلیت‌های باج‌افزاری و بات‌نتی و ویندوزسرورها را برای استخراج رمز-ارز و انتشار خودکار، هدف قرار می‌دهد.

قابلیت‌های باج‌افزار Xbash، آن را قادر می‌سازد تا پایگاه‌داده‌های مبتنی برلینوکس را مورد هدف قرار دهد.  متاسفانه، به‌نظر می‌رسد که این بدافزار هیچ‌گونه عملکردی برای کمک به قربانیان برای بازیابی داده‌های از دست رفته ندارد و فقط باج دریافت می‌کنند!

تاکنون حداقل 48 قربانی حدود 6000 دلار به مهاجمان پرداخت کرده‌اند، اما شواهدی مبنی بر اینکه هیچکدام از آن‌ها قادر به بازیابی داده‌هایشان شده‌اند وجود ندارد.

این بدافزار ظاهرا کار گروه Iron است. به‌نظر می‌رسد این گروه که قبلا نیز حملاتی در حوزه‌ی باج‌افزار و استخراج رمز-ارز در سیستم‌های ویندوزی داشته، این بار با استفاده از Xbash اهداف خود را به سیستم‌های لینوکسی نیزگسترش داده است.

برخلاف دیگر بدافزارهای لینوکسی مانند Gafgyt و Mirai که دستگاه‌های آسیب‌پذیر را با استفاده از آدرس‌های IP تولیدشده به‌صورت تصادفی اسکن می‌کنند، بدافزار Xbash دستگاه‌های آسیب‌پذیر را با نام دامنه اسکن می‌کند.

Xbash از یک لیست آدرس IP و دامنه‌ی فراهم‌شده توسط سرور کنترل و فرمان خود برای اسکن پورت‌های باز خاص، مجوزهای ضعیف یا سه آسیب‌پذیری شناخته‌شده در هدوپ، Redis و ActiveMQ استفاده می‌کند. این بدافزار بعدا از این اسکن‌ها برای توزیع خودکار استفاده می‌کند.

نمونه‌ی این بدافزار که توسط محققان پالوآلتو تحلیل شده است، نشان می‌دهد که صاحبان Xbash در حال توسعه‌ی قابلیت جدیدی هستند به بدافزار امکان اسکن شبکه‌های آلوده‌ی دیگر سرورها را نیز می‌دهد. این قابلیت هنوز فعال نشده است، اما اگر فعال شود، Xbash قادر خواهد بود تا به‌سرعت همانند واناکرا و Petya/NotPetya داخل یک شبکه‌ی آلوده توزیع شود.

بدافزارهای ماژولار و چندکاره برای سازمان‌ها به یک تهدید جدید تبدیل شده‌اند. در هفته‌های اخیر چندین شرکت امنیتی هشدارهایی را در مورد بدافزارهای مخرب چندکاره صادر کرده‌اند. می‌توان گفت برای دفاع در برابر این توع از تهدیدات به یک رویکرد سطح بالاتری نیاز است.