Исследователи из Proofpoint установили, что в состав ботнета, как минимум восемь месяцев используемого для скрытного майнинга Monero, ныне входит более 500 тыс. зараженных Windows-машин. По оценкам экспертов, за это время ботоводы Smominru, он же MyKings и Ismo, успели разбогатеть на 8,9 тыс. XMR (более 2 млн долларов), используя чужие вычислительные мощности.

Proofpoint отслеживает активность данного ботнета с конца мая. Недавно исследователи с помощью активистов Abuse.ch и ShadowServer Foundation подменили центры управления Smominru по методу sinkhole и благодаря этому обнаружили более 526 тыс. зараженных устройств — в основном, серверов Windows. Больше всего заражений выявлено в России (около 130 тыс.), Индии и на Тайване.

Год назад эксперты «Лаборатории Касперского» проанализировали код бота, на котором построен Smominru, и предупредили интернет-сообщество о новой опасности. На тот момент ботнет использовался для распространения DDoS-зловреда Mirai, который устанавливался на сетевые устройства и IoT-гаджеты посредством брутфорса Telnet. Из других возможных векторов исследователи также отметили инъекции SSH, SMI и SQL.

В следующий раз Smominru объявился на радарах ИБ-исследователей в июле. Как обнаружили в Trend Micro, для проникновения в систему зловред начал использовать утекший в Сеть эксплойт EternalBlue (к уязвимости CVE-2017-0144 в протоколе SMB). Рабочие скрипты бота исполняются в памяти с помощью Windows-службы WMI (Windows Management Instrumentation), обеспечивая связь с C&C для получения команд, а также установку полезной нагрузки. Как оказалось, злоумышленники переключились на более привлекательный источник дохода и теперь загружают на ботнет майнер Monero.

Исследователи из GuardiCore, как впоследствии выяснилось, тоже напали на след Smominru. С марта они наблюдали три разных брутфорс-кампании по взлому разных серверов баз данных. Одна из них, нареченная Hex, была нацелена на установку криптомайнеров и RAT-троянцев; Hanako, судя по характеру заражений, была предпринята для построения DDoS-ботнета; в рамках Taylor злоумышленники устанавливали кейлоггер и бэкдор. Примечательно, что в ходе Taylor-кампании вредоносный дроппер использовал WMI для загрузки списка системных процессов, исполнение которых следовало приостановить в целях самозащиты.

В своем отчете GuardiCore также отметила, что в рамках ботнета скомпрометированные серверы используются для проверки новых целей на уязвимость, проведения брутфорс-атак, размещения вредоносных исполняемых файлов и выполнения C&C-функций. Распределение этих задач между зараженными машинами не жесткое и часто меняется в ходе вредоносной кампании (в случае с Taylor такое перепрофилирование производится значительно реже).

Публикуя результаты sinkholing, эксперты Proofpoint пишут, что обнаружили как минимум 25 хостов, проводящих эксплойт-атаки EternalBlue; все они размещены в американской сети AS63199. Кроме основного эксплойта, злоумышленники, по всей видимости, используют EsteemAudit (к уязвимости CVE-2017-0176 в RDP-протоколе Windows XP). Командная инфраструктура Smominru размещена в сети компании SharkTech, специализирующейся на защите от DDoS и иных веб-услугах. Proofpoint уведомила сервис-провайдера о злоупотреблении, однако ответ пока не получила.

Исследователи обратились также в MineXMR — к операторам майнингового пула Monero, и те заблокировали текущий адрес кошелька ботоводов. В ответ злоумышленники начали регистрировать новые домены и обзавелись другим криптокошельком, но в итоге потеряли контроль над третью ботнета.

В отчете Proofpoint также сказано, что по размерам Smominru теперь в два раза превосходит Adylkuzz — другой ботнет-майнер, который начал использовать EternalBlue еще до WannaCry. Популярность этого эксплойта у любителей поживиться за чужой счет растет: в октябре стало известно, что его использует еще один бот, устанавливающий Monero-майнер; в Panda Security его именуют WannaMine. Он тоже использует WMI-инструментарий для скрытного выполнения сценариев и снабжен Mimikatz — бесплатной утилитой, помогающей извлечь из памяти пароли, хеши, PIN-коды и т. п. Наличие подобного инструмента в дополнение к эксплойту позволяет WannaMine быстро распространяться по локальной сети. Со слов CrowdStrike, также отслеживающей заражения WannaMine, за последние пару месяцев эти «самоходные» боты заметно активизировались, а устанавливаемый ими майнер иногда настолько перегружает ЦП, что компьютером невозможно пользоваться.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости