آلودگی بیش از 500 هزار سیستم ویندوز سرور توسط نرم افزار ماینیگ مونرو

به گفته محققان Proofpoint بیش از 526 هزار ویندوز سرور توسط ارز دیجتالی ماینیگ مونرو ( Monero Mining ) به Smominru آلوده شده اند. مونرو یک ارز دیجیتال امن، خصوصی و غیر قابل ردیابی است. در صورتی که ارز های دیجیتالی مثل بیت کوین قابل ردیابی هستند.

سایت Proofpoint این ارز دیجتالی را از پایان سال 2017 ردیابی کرد. نشان می دهد که بدافزار Smominru خود را از طریق آسیب پذیری اترنال بلو (CVE-2017-0144) در سراسر شبکه منتشر کرده است. و کاملا خود را مستند شده کرده است. استفاده از زیر ساخت ویندوز منیجر برای بدافزار ارزی Mining  کاملا غیر معمول است.

بر اساس قدرت هش در ارتباط با آدرس پرداخت مونرو برای این عملیات، به نظر می رسد که این بوت نت احتمالا دو برابر اندازه Adylkuzz بود. اپراتورها در حال حاضر تقریبا 8900 مونرو را استخراج کرده اند (ارزش این هفته بین 2.8 میلیون دلار  تا 3.6 میلیون دلار بوده است). در هر روز این بات نت 24 مونرو به ارزش 850 دلار در هفته به دست می آورد.

Proofpint اضافه کرد که دست کم 25 میزبان برای مدیریت حملات با اترنال بلو (CVE-2017-0144 SMB) جهت افزودن میزبان های جدید برای گسترش این بات نت به کار گرفته شد.

محققان دیگر گزارش دادند که حملات از طریق SQL Server صورت گرفته است. و معتقدیم که عوامل و گردانندگان این حمله از EsteemAudit (CVE-2017-0176 RDP) مانند بسیاری از مهاجمان دیگر از EternalBlue استفاده می کنند. زیر ساخت های کنترل و فرماندهی توسط (C&C) در پشت SharkTech میزبانی می شود. که ما از سوء استفاده آنها آگاه شده ایم.اما پاسخی دریافت نکرده ایم.

Proofpoint هشدار داد که اپراتورهای این بات نت ماندگار هستند، از تمام سوء استفاده های موجود استفاده می کنند تا شبکه بات نت خود را گسترش دهند و به راه های متعددی برای بازیابی پس از عملیات تله پول به دست آورده اند.

“از آنجا که بسیاری از گره ها در این بات نت به نظر می رسد که سرورهای ویندوز هستند، عملکرد بر روی زیرساخت های بالقوه بحرانی کسب و کار ممکن است بالا باشد، همچنین هزینه های افزایش مصرف انرژی توسط سرورها که بسیار نزدیک به ظرفیت هستند.”