هشدار مایکروسافت به کاربران در خصوص حملات BlueKeep
تیم تحقیقاتی ATP (که همان نرم افزار محافظ ویندوز است) بیان کرده که حملات Bluekeep که در دوم نوامبر سال 2019 شناسایی شدهاند، از سپتامبر همین سال به یک کمپین استخراج ارز دیجیتال که از زیرساخت فرماندهی و کنترل مشابهی استفاده میکند، ملحق شده است.
BlueKeep یک کد غیرمجاز قابل اجرا از راه دور است که بر روی نقاط ضعف و حفرههای سرویس Remote Desktop در ویندوز 7، ویندوز سرور 2008 و ویندوز سرور 2008 R2 اثر میگذارد و در 14 ماه می توسط مایکروسافت برای آن وصله امنیتی ارایه شده است.
تیم تحقیقاتی ATP با ارایه این اطلاعات، کاربران را ترغیب میکند تا فوراً سیستمهای ویندوزی را که نسبت به حملات BlueKeep آسیبپذیرند، وصله کنند.
با وجود آن که در طول حملات این ماه، Bluekeep بر روی ماشینهای وصله نشده، حملات باج افزارها یا سایر انواع بدافزارها در کنار بار افزوده شده توسط استخراج کنندگان ارزهای دیجیتالی کاهشی نداشته است، شرکت مایکروسافت با بیان این مطلب که «احتمالاً در آینده، استخراج Bluekeep نسبت به استخراج کنندگان ارز دیجیتالی بار اضافه بیشتر و آسیبرسانتری را بر روی سرورها ایجاد خواهد کرد»، کاربران را نسبت به حملاتی که ممکن است در آینده رخ دهند هشدار میدهد.
بر اساس گزارش مایکروسافت، مشتریان تشویق شدهاند که سیستمهای آسیبپذیر را فوراً شناسایی و بهروزرسانی کنند. این شرکت میگوید که «محققان امنیتی مایکروسافت، پس از استخراج شاخصههای تهدیدآمیز به این نتیجه رسیدهاند که یکی از کمپینهای استخراج ارزهای دیجیتالی تازهکار در ماه سپتامبر از همان زیرساخت فرماندهی و کنترلی که در ماه اکتبر در کمپین BlueKeep Metasploit به کار رفته بود، استفاده میکند. بنا بر مشاهدهها، این اکسپلویت در بعضی از موارد تنها به نصب یک استخراج کننده ارز اکتفا کرده و منجر به از کار افتادگی کامل سیستم نمیشد.
این اتفاق نشان داد که احتمالاً حمله کنندگان یکسانی پشت پرده هر دو کمپین استخراج ارز دیجیتالی هستند. آنها به شکلی فعال حملات استخراج ارز را سازماندهی میکردند و در نهایت اکسپلویت Bluekeep را به انبار مهماتشان اضافه کردند.
بارهای اضافی ناشی از کمپینهای استخراج ارزهای دیجیتالی از سوی کشورهای فرانسه، روسیه، ایتالیا، اسپانیا، اوکراین، آلمان، انگلستان و برخی کشورهای دیگر دریافت میشد و در این حملات هدف ماشینهای متصل به اینترنتی بوده است که پورت مربوط به سرویس RDP در آنها قابل دسترسی است.
حمله کنندگان سرویسهای آسیبپذیر RDP را شناسایی کرده و سپس اسکریپتهای مبهمی را که استخراج کننده ارزهای دیجیتالی هستند، بر روی این سیستمها قرار میدهند. این اسکریپتها توانایی اجرای وظایف زمانبندی شده را بر روی سیستمهای آلوده دارند.
محققان امنیتی افزودهاند که «حملات اکسپلویتی جدید نشان میدهد تا زمانی که سیستمها وصله نشوند، سطح مناسبی از محرمانگی در آنها رعایت نشود و وضعیت امنیت کلی آنها به طور دورهای پایش نشود، BlueKeep همچنان به عنوان یک تهدید جدی به کار خود ادامه خواهد داد».