Számítógépekre csapott le Lucifer

​Egy meglehetősen komplex felépítésű kártékony program terjed egyre nagyobb számban. Rendszerek megbénítása mellett kriptobányászatra is alkalmas.
 

A Palo Alto Networks biztonsági kutatói május végén fedezték fel a Lucifer nevű kártékony programot. A károkozónak azóta egy újabb variánsa is feltűnt, amely ellen egy fokkal nehezebb védekezni.
 
A Lucifer alapvetően két olyan funkcióval rendelkezik, amivel károkat, illetve bosszúságot okozhat. Az első szolgáltatásmegtagadási támadásokban való részvételt tehet lehetővé, míg a másik kriptobányászatba vonja be a fertőzött számítógépeket. A károkozó az utóbbi ténykedéséhez az XMRig nevű, nyílt forráskódú szoftvert telepíti fel, aminek révén Monero bányászatra válik alkalmassá.
 
Sebezhetőségekre éhesen
 
A Lucifer fontos jellemzője, hogy a terjedéséről megpróbál saját maga gondoskodni. Ennek során elsősorban szoftveres sebezhetőségeket fordít a saját javára. Alapvetően olyan exploitokkal próbálkozik, amik jól ismert biztonsági rések kihasználására alkalmasak. Ezek közé tartozik az EternalBlue, az EternalRomance és a DoublePulsar is. Mindezek mellett azonban további biztonsági rések kiaknázására is felkészítették a készítői, amelyek révén a következő szoftvereket tudja ostromolni:
  • Rejetto HTTP File Server
  • Jenkins
  • Oracle Weblogic
  • Drupal
  • Apache Struts
  • Laravel
  • Windows.
 
A fentiek miatt a károkozó elleni védekezés egyik kulcsa a naprakészen tartott operációs rendszerek és alkalmazások használata.
 
A kártékony program a fertőzött számítógépeken manipulálja a regisztrációs adatbázist annak érdekében, hogy a Windows minden egyes újraindítását követően automatikusan be tudjon töltődni. Ezt követően elkezdi szkennelni a 135 (RPC) és a 1433 (MSSQL) portokat, amivel további célpontokat próbál felkutatni, majd egyebek mellett adatbázisokhoz (gyakran használt felhasználónév/jelszó kombinációkkal) hozzáférést igyekszik szerezni. A támadása során a certutil eszközt is felhasználhatja.
 
A Lucifer a vezérlőszerverével Stratum protokollon (10001-es porton) kommunikál. A kiszolgálójáról rendszeresen parancsokat fogad, amik többek között TCP/UDP/HTTP alapú szolgáltatásmegtagadási támadások kezdeményezésére utasíthatják a kártevőt. Ugyanakkor a támadók olyan parancsokat is kiadhatnak, amik hatására a károkozó programokat futtathat, különféle műveleteket hajthat végre, elindíthatja vagy leállíthatja a kriptopénz bányászatot.
 
A biztonsági kutatók szerint a Lucifer legújabb variánsa mindenben követi az elődje által kitaposott utat. Emellett azonban egy anti-sandbox összetevővel is rendelkezik, ami képes felismerni, ha a kártevő olyan virtualizált vagy sandbox környezetbe kerül, amely a vizsgálatát (leleplezését) szolgálhatja. Ilyen esetekben a kártevő azonnal leállítja saját magát.
Vélemények
 
  1. 4

    Az SQLite három biztonsági rés miatt szorul frissítésre.

  2. 3

    A GitLab fejlesztői két biztonsági rést foltoztak be.

  3. 1

    A Devilshadow trójai sok funkcióval képes támogatni a kiberbűnözők által végrehajtott károkozásokat.

 
Partnerhírek
Az ESET kutatói feltérképezték a katonai és diplomáciai célpontokat támadó InvisiMole csoport működését

Az InvisiMole új kampányát vizsgálva az ESET kutatóinak sikerült feltárniuk a csoport frissített eszközkészletét, valamint a Gamaredon hackercsoporttal való szoros együttműködésük részleteit is.

​LinkedIn-en keresztül támadó hackereket lepleztek le az ESET kutatói

Álláshirdetésnek álcázott adathalász támadásokat lepleztek le az ESET kutatói, melyek vélhetően az észak- koreai illetőségű Lazarus csoporthoz köthetők.

hirdetés
Közösség