В течение августа ботнет-криптоджекер Smominru заразил около 90 тыс. компьютеров, используя эксплойт EternalBlue и брутфорс-атаки. Об этом сообщили специалисты компании Guardicore, проанализировав текущую активность вредоносных ботов, концентрация которых особенно высока в Китае, на Тайване, в России, Бразилии и США. Как выяснили специалисты, лежащий в основе ботнета зловред поддерживается широкой инфраструктурой серверов по всему миру, и кроме установки майнера, пытается похитить логины и пароли с инфицированных машин.

Аналитикам удалось завладеть доступом к одному из командных серверов Smominru и получить представление о масштабах вредоносной кампании. Как оказалось, каждый день агрессивный бот проникает в среднем на 4,7 тыс. компьютеров. Большую часть из них составляют рабочие станции и небольшие серверы под управлением Windows 7 и Windows Server 2008. Эксперты отмечают, что именно эти операционные системы наиболее уязвимы к атакам с использованием эксплойта EternalBlue. На долю других ОС Windows приходится лишь 15% успешных атак.

Попав на инфицированное устройство, самоходный бот пытается заразить и связанные с жертвой компьютеры. По информации исследователей, под удар Smominru ежемесячно попадают почти 5 тыс. сетей. Большинство из них состоит из нескольких десятков машин, а самая большая сеть, пораженная зловредом, насчитывала 65 хостов. Примечательно, что четверть приобщенных к ботнету машин неоднократно подвергались заражению, а значит, были плохо пропатчены после обнаружения инфекции и очистки.

Smominru загружает на компьютер жертвы около 20 файлов, среди которых исполняемые модули с функциями руткита и RAT-трояна, генератор криптовалюты Monero, а также ряд служебных компонентов. Возможности ботнета позволяют гибко настраивать состав полезной нагрузки и оперативно изменять адреса командных серверов, на которых она хранится.

Работу Smominru поддерживают два десятка серверов

Исследователям удалось обнаружить около 20 криминальных хранилищ, расположенных в США, Европе и Азии. Некоторые файлы, загружаемые Smominru, хранились сразу на нескольких серверах, что гарантирует бесперебойную работу ботнета в случае блокировки одного из репозиториев. Примечательно, что для своих целей киберпреступники зачастую используют хостинг крупных западных провайдеров, имеющих строгую политику безопасности и развитые средства мониторинга.

Изучив журнал работы командного сервера вредоносной сети, ИБ-специалисты выяснили, что клиент Smominru собирает и передает злоумышленникам следующие сведения об инфицированном компьютере:

  • Внешний и внутренний IP-адрес машины
  • Название операционной системы
  • Данные о загрузке процессора

Кроме того, нападающие пытаются получить информацию об активных процессах и украсть учетные данные пользователя при помощи утилиты Mimikatz. Дополнительно бот удаляет конкурирующих зловредов и блокирует некоторые TCP-порты (SMB, RPC), чтобы исключить проникновение на устройство других взломщиков.

Специалисты Guardicore совместно с другими исследователями наблюдают за Smominru, известным также под именами MyKings и Ismo, с 2017 года. По информации экспертов, в прошлом году численность вредоносной сети составляла более полумиллиона устройств.

Категории: Аналитика, Вредоносные программы, Главное