Musang ungua Windows Malware, yang sebelum ini dikenali untuk menjangkiti mesin dengan kit eksploitasi dan e-mel pancingan data, kini telah menambah teknik baharu pada senjatanya yang memberikannya keupayaan penyebaran seperti cacing.
Kempen yang sedang berjalan menggunakan “teknik penyebaran baharu melalui pengimbasan port sembarangan dan mengeksploitasi perkhidmatan SMB terdedah dengan kata laluan dan cincang yang lemah,” menurut penyelidik Guardicore, yang mengatakan serangan telah meningkat sekitar 600% sejak Mei 2020.
Sebanyak 90,000 insiden direkodkan sepanjang baki 2020 dan awal 2021.
Purple Fox, pertama kali ditemui pada Mac 2018, diedarkan dalam bentuk data “.msi” berniat jahat yang dihoskan pada hampir 2,000 berisiko Windows pelayan, yang seterusnya memuat turun dan menjalankan komponen dengan keupayaan rootkit, membenarkan pelaku ancaman menyembunyikan perisian hasad pada komputer, menjadikannya lebih mudah untuk mengelak pengesanan.
Guardicore berkata Purple Fox tidak banyak berubah sejak eksploitasi itu, tetapi apa yang berubah ialah tingkah laku seperti cacingnya, yang membolehkan perisian hasad merebak dengan lebih cepat.
Ia mencapai ini dengan menembusi mesin mangsa melalui perkhidmatan terdedah dan terdedah seperti blok mesej pelayan (SMB), menggunakan pijakan awal untuk mencipta kegigihan, memuat turun muatan dari rangkaian Windows pelayan dan memasang rootkit secara rahsia pada hos.
Setelah dijangkiti, perisian hasad menyekat berbilang port (445, 139, dan 135), mungkin dalam usaha untuk “menghalang komputer yang dijangkiti daripada dijangkiti semula dan/atau dieksploitasi oleh pelakon ancaman lain,” kata Amit Serper, Guardicore baharu. naib presiden penyelidikan keselamatan untuk Amerika Utara.
Dalam fasa seterusnya, Purple Fox memulakan proses penyebarannya dengan menjana julat IP dan mengimbasnya pada port 445, menggunakan probe untuk memilih peranti yang terdedah di Internet dengan kata laluan yang lemah dan memaksanya masuk ke dalam mesin botnet.
Walaupun pelaku ancaman sering menggunakan botnet untuk melancarkan serangan penafian perkhidmatan terhadap tapak web untuk membawanya ke luar talian, mereka juga boleh digunakan untuk menyebarkan semua jenis perisian hasad, termasuk perisian tebusan penyulitan fail pada komputer yang dijangkiti. dalam kes ini, ia tidak segera jelas apa yang ingin dicapai oleh penyerang.
Vektor jangkitan baharu ialah satu lagi tanda pengendali jenayah sentiasa memperlengkapkan semula mekanisme pengedaran perisian hasad mereka untuk melancarkan jaringan yang luas dan menjejaskan seberapa banyak mesin yang mungkin.
Butiran tentang Petunjuk Kompromi (IoC) yang dikaitkan dengan kempen boleh didapati di sini.
