Уязвимость BlueKeep, связанная с недостатками реализации протокола RDP в ОС Windows, эксплуатируется в дикой природе. К такому выводу пришли ИБ-специалисты после анализа журнала ошибок тестовых систем с незащищенным портом 3389. Киберпреступники используют ранее опубликованный эксплойт, чтобы доставить на целевые компьютеры майнеры криптовалюты.

Кампанию обнаружил независимый исследователь Кевин Бомонт (Kevin Beaumont). В мае 2019 года он развернул сеть ханипотов с открытым доступом к RDP-порту на базе облачной платформы Azure Sentinel. Первое нападение на тестовые системы специалист зафиксировал 23 октября: атаки приводили к аварийному завершению работы и перезагрузке узла, что является одним из признаков эксплуатации BlueKeep.

Киберпреступники использовали эксплойт из комплекта Metasploit

Бомонт выяснил, что во всех случаях нападение проходило по одному и тому же сценарию. Для анализа аварийного дампа системы аналитик обратился к Маркусу Хатчинсу (MalwareTech), который обнаружил следы известного эксплойта BlueKeep. В сентябре похожий скрипт был добавлен в репозиторий Metasploit, однако до настоящего момента он не использовался в реальных атаках.

По мнению экспертов, злоумышленники сканируют Сеть в поисках незащищенных портов 3389 в определенном диапазоне IP-адресов. Обнаружив открытый RDP-шлюз, программа загружает на устройство закодированный PowerShell-скрипт, который доставляет еще один вредоносный сценарий. В качестве финальной полезной нагрузки выступает майнер криптовалюты Monero. Как отметил Бомонт, модуль не может распространяться самостоятельно, что отличает эти атаки от WannaCry, NotPetya и других подобных кампаний.

В период с 23 октября по 3 ноября тестовые системы зафиксировали около 70 попыток проникновения, повлекших создание миллионов записей в журналах событий. Поэтому для определения индикаторов компрометации, необходимых для оперативного выявления атаки, потребуется некоторое время.

Уязвимость CVE-2019-0708, получившая название BlueKeep, была исправлена Microsoft в майском комплекте обновлений для Windows. Баг позволял неавторизованному злоумышленнику удаленно выполнить в системе произвольный код. В июне этого года вендор сообщил, что 83% уязвимых систем уже получили важный апдейт, однако сотни тысяч компьютеров все еще подвержены риску атаки.

Категории: Уязвимости