NRSMiner的一個新變種正在感染亞洲南部地區的用戶,大多數受害者分別是越南(54%),伊朗(16%)和馬來西亞(12%)。
新版本利用EternalBlue漏洞進行傳播,專家觀察到威脅還會更新現有的NRSMiner安裝。
ETERNALBLUE 是一種NSA攻擊,在WannaCry攻擊中成為DOUBLEPULSAR的頭條新聞 。
ETERNALBLUE 以SMBv1協議為目標,並且已經在惡意軟件開發人員社區中得到廣泛採用。
“從2018年11月中旬開始,我們的遙測報告顯示,最新版本的 NRSMiner 密碼系統使用Eternal Blue漏洞傳播到本地網絡中的易受攻擊的系統,正在亞洲積極傳播。看到的大多數感染系統都在越南。“閱讀F-Secure發佈的分析。
新版本的NRSMiner通過下載新模塊並刪除舊版本安裝的文件和服務來更新現有感染。
感染了運行該版本的舊版NRSMiner的計算機 wmassrvservice將連接到tecate [。] traduires [。] com以下載更新程序模塊。模型存儲在%systemroot%\ temp文件夾為 tmp [xx]。可執行程序,其中[xx]是GetTickCount()API的返回值。
如果更新程序模塊發現安裝了新版本,則會刪除自身,否則會從硬編碼的URL中下載惡意軟件。
“要刪除自身的先前版本,最新版本是指服務,任務列表 和要刪除的文件,可以在snmpstorsrv.dll文件中找到; 要刪除所有舊版本,它指的是MarsTraceDiagnostics.xml文件中的列表。“繼續分析。
此惡意代碼首先安裝名為的服務 snmpstorsrv,snmpstorsrv.dll註冊為 servicedll。然後它會刪除自己。
該服務創建多個線程來執行多個惡意活動,例如數據洩露和挖掘。
更新後的礦工將注入svchost.exe以啟動 加密開採, 如果注入失敗,服務會將礦工寫入%systemroot%\ system32 \ TrustedHostex.exe並啟動它。
最新的NRSMiner版本利用wininit.exe處理其利用和傳播。Wininit.exe解壓縮%systemroot%\ AppDiagnostics \ blue.xml中的壓縮數據並將文件解壓縮到AppDiagnostics文件夾。其中一個名為svchost.exe的解壓縮文件 是Eternalblue - 2.2.0 exploit可執行文件。
Wininit.exe在TCP端口445上掃描本地網絡的其他可訪問設備,它在任何易受攻擊的系統上執行EternalBlue漏洞。如果漏洞利用成功執行,則會安裝DoublePulsar後門。
惡意代碼使用XMRig Monero CPU挖掘器。
在F.Secure發佈的分析中報告了包括IoC在內的更多信息。
閱讀更多 專注黑客事件直播報 的文章
