image

Aanvallers installeren cryptominer via Struts- en NSA-exploits

zondag 17 december 2017, 11:55 door Redactie, 9 reacties

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers via verschillende exploits cryptominers op systemen en netwerken installeren Het gaat om een exploit die gebruik maakt van een beveiligingslek in Apache Struts dat in maart van dit jaar werd gepatcht, zo meldt netwerkfabrikant F5 Networks.

Het is dezelfde kwetsbaarheid waardoor ook de Amerikaanse kredietbeoordelaar Equifax werd gehackt. Verder maken de aanvallers ook gebruik van een exploit voor een beveiligingslek in het DotNetNuke (DNN) contentmanagementsysteem. Voor deze kwetsbaarheid is sinds juli een update beschikbaar. De aanvallen zijn zowel tegen Linux- als Windows-systemen gericht. Afhankelijk van de aangevallen omgeving wordt er na een succesvolle infectie een andere "payload" gebruikt.

Wat verder aan de campagne opvalt is dat bij een succesvolle infectie van de Struts- of DNN-server de EternalBlue- en EternalSynergy-exploits worden gebruikt. Het gaat om twee exploits die bij de Amerikaanse geheime dienst NSA werden gestolen en begin dit jaar op internet verschenen. Op deze manier kunnen ongepatchte Windows-systemen in het netwerk met de "mule" malware worden geïnfecteerd. Deze malware is een cryptominer die besmette systemen naar de cryptocurrency Monero laat minen. Hoeveel systemen er inmiddels zijn besmet is onbekend. Een van de Monero-wallets die de aanvallers gebruiken zou inmiddels voor 8500 dollar aan Monero bevatten.

Reacties (9)
17-12-2017, 12:04 door Anoniem
dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?
17-12-2017, 18:44 door Anoniem
Door Anoniem: dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?

Beetje moeite met lezen ?
De NSA exploits zijn sinds begin dit jaar _niet meer_ geheim omdat ze gestolen en publiek gemaakt zijn.

En sindsdien zijn ze inderdaad voor achmed, ivan , deng li, kim park en alleman beschikbaar - en worden dus ook gebruikt.
18-12-2017, 09:44 door Anoniem
Door Anoniem:
Door Anoniem: dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?

Beetje moeite met lezen ?
De NSA exploits zijn sinds begin dit jaar _niet meer_ geheim omdat ze gestolen en publiek gemaakt zijn.

En sindsdien zijn ze inderdaad voor achmed, ivan , deng li, kim park en alleman beschikbaar - en worden dus ook gebruikt.

Zou alles openbaar zijn gemaakt ?
18-12-2017, 10:24 door Whacko
Door Anoniem:
Door Anoniem:
Door Anoniem: dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?

Beetje moeite met lezen ?
De NSA exploits zijn sinds begin dit jaar _niet meer_ geheim omdat ze gestolen en publiek gemaakt zijn.

En sindsdien zijn ze inderdaad voor achmed, ivan , deng li, kim park en alleman beschikbaar - en worden dus ook gebruikt.

Zou alles openbaar zijn gemaakt ?

Niet alles nee, maar wel heel veel. Even het nieuws volgen.

Verder even een aanvulling van het nieuwsbericht. Dit is niet zozeer een risico voor de burger. Dit gaat om websites van bedrijven die een lek website framework gebruiken: Struts. daarna wordt op het netwerk van dat bedrijf met behulp van eternalblue etc gezocht naar kwetsbare systemen.
18-12-2017, 10:59 door Anoniem
Door Whacko:
Door Anoniem:
Door Anoniem:
Door Anoniem: dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?

Beetje moeite met lezen ?
De NSA exploits zijn sinds begin dit jaar _niet meer_ geheim omdat ze gestolen en publiek gemaakt zijn.

En sindsdien zijn ze inderdaad voor achmed, ivan , deng li, kim park en alleman beschikbaar - en worden dus ook gebruikt.

Zou alles openbaar zijn gemaakt ?

Niet alles nee, maar wel heel veel. Even het nieuws volgen.

Verder even een aanvulling van het nieuwsbericht. Dit is niet zozeer een risico voor de burger. Dit gaat om websites van bedrijven die een lek website framework gebruiken: Struts. daarna wordt op het netwerk van dat bedrijf met behulp van eternalblue etc gezocht naar kwetsbare systemen.

Dus in theorie zijn er nog andere exploits beschikbaar die niemand (behalve de NSI en ..???... ) kent. Dus dan heeft het nieuws volgen slechts ten dele zin. Tenzij je als Whacko veel meer weet dan alleen het nieuws (een insider?).. Is dit zo Whacko ?
18-12-2017, 14:45 door Whacko
Door Anoniem:
Door Whacko:
Door Anoniem:
Door Anoniem:
Door Anoniem: dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?

Beetje moeite met lezen ?
De NSA exploits zijn sinds begin dit jaar _niet meer_ geheim omdat ze gestolen en publiek gemaakt zijn.

En sindsdien zijn ze inderdaad voor achmed, ivan , deng li, kim park en alleman beschikbaar - en worden dus ook gebruikt.

Zou alles openbaar zijn gemaakt ?

Niet alles nee, maar wel heel veel. Even het nieuws volgen.

Verder even een aanvulling van het nieuwsbericht. Dit is niet zozeer een risico voor de burger. Dit gaat om websites van bedrijven die een lek website framework gebruiken: Struts. daarna wordt op het netwerk van dat bedrijf met behulp van eternalblue etc gezocht naar kwetsbare systemen.

Dus in theorie zijn er nog andere exploits beschikbaar die niemand (behalve de NSI en ..???... ) kent. Dus dan heeft het nieuws volgen slechts ten dele zin. Tenzij je als Whacko veel meer weet dan alleen het nieuws (een insider?).. Is dit zo Whacko ?

Nee geen insider. Maar uit de documenten die gelekt zijn kun je opmaken wat voor soort exploits en tools de NSA gebruikt, en niet alles is tot op detail uitgelekt over de precieze werking. Dat is wat ik bedoel met dat er vast nog veel meer is.
18-12-2017, 17:44 door Anoniem
Bedankt NSA voor het lekken van jullie digitale arsenaal. :s /sarcasm
18-12-2017, 18:37 door Anoniem
Door Anoniem:
Door Anoniem:
Door Anoniem: dat is natuurlijk neit zo fijn als NSA-exploits die geheim zijn misbruikt worden ze zijn toch geheim waarom zijn ze dan beschikbaar voor achmed en alleman ?

Beetje moeite met lezen ?
De NSA exploits zijn sinds begin dit jaar _niet meer_ geheim omdat ze gestolen en publiek gemaakt zijn.

En sindsdien zijn ze inderdaad voor achmed, ivan , deng li, kim park en alleman beschikbaar - en worden dus ook gebruikt.

Zou alles openbaar zijn gemaakt ?

Beslist niet . Er is een tijdlang een aanbod geweest (staat misschien nog steeds) door een groep die zich 'shadowbrokers' noemt om alle NSA exploits die op een bepaald moment gestolen waren te verkopen.
shadowbrokers had een deel ervan publiek gemaakt om te bewijzen dat ze 'de echte' dingen ook hadden.

Er is geen publieke verklaring geweest dat iemand gekocht heeft.

En natuurlijk zal de NSA (en andere partijen) sindsdien nieuwe exploits gevonden hebben.
19-12-2017, 18:56 door Anoniem
Ik heb niet zo lang geleden die EternalBlue plugin voor metasploit (nooit eerder gebruikt) getest op een VM. Een kind kan de was doen. Dan kun je hopen dat de meeste Windows systemen ondertussen wel gepatched zijn. Ahum

Maar het is stiekem wel leuk als je dan die prompt ziet :)
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.