هشدار مایکروسافت به کاربران در خصوص حملات BlueKeep

تیم تحقیقاتی ATP (که همان نرم افزار محافظ ویندوز است) بیان کرده که حملات Bluekeep که در دوم نوامبر سال 2019 شناسایی شده‌اند، از سپتامبر همین سال به یک کمپین استخراج ارز دیجیتال که از زیرساخت فرماندهی و کنترل مشابهی استفاده می‌کند، ملحق شده است.
BlueKeep یک کد غیرمجاز قابل اجرا از راه دور است که بر روی نقاط ضعف و حفره‌های سرویس Remote Desktop در ویندوز 7، ویندوز سرور 2008 و ویندوز سرور 2008 R2 اثر می‌گذارد و در 14 ماه می توسط مایکروسافت برای آن وصله امنیتی ارایه شده است.
تیم تحقیقاتی ATP با ارایه این اطلاعات، کاربران را ترغیب می‌کند تا فوراً سیستم‌های ویندوزی را که نسبت به حملات BlueKeep آسیب‌پذیرند، وصله کنند.
با وجود آن که در طول حملات این ماه، Bluekeep بر روی ماشین‌های وصله نشده، حملات باج افزارها یا سایر انواع بدافزارها در کنار بار افزوده شده توسط استخراج کنندگان ارزهای دیجیتالی کاهشی نداشته است، شرکت مایکروسافت با بیان این مطلب که «احتمالاً در آینده، استخراج Bluekeep نسبت به استخراج کنندگان ارز دیجیتالی بار اضافه بیشتر و آسیب‌رسان‌تری را بر روی سرورها ایجاد خواهد کرد»، کاربران را نسبت به حملاتی که ممکن است در آینده رخ دهند هشدار می‌دهد.
بر اساس گزارش مایکروسافت، مشتریان تشویق شده‌اند که سیستم‌های آسیب‌پذیر را فوراً شناسایی و به‌روزرسانی کنند. این شرکت می‌گوید که «محققان امنیتی مایکروسافت، پس از استخراج شاخصه‌های تهدیدآمیز به این نتیجه رسیده‌اند که یکی از کمپین‌های استخراج ارزهای دیجیتالی تازه‌کار در ماه سپتامبر از همان زیرساخت فرماندهی و کنترلی که در ماه اکتبر در کمپین BlueKeep Metasploit به کار رفته بود، استفاده می‌کند. بنا بر مشاهده‌ها، این اکسپلویت در بعضی از موارد تنها به نصب یک استخراج کننده ارز اکتفا کرده و منجر به از کار افتادگی کامل سیستم نمی‌شد.
این اتفاق نشان داد که احتمالاً حمله کنندگان یکسانی پشت پرده هر دو کمپین استخراج ارز دیجیتالی هستند. آن‌ها به شکلی فعال حملات استخراج ارز را سازمان‌دهی می‌کردند و در نهایت اکسپلویت Bluekeep را به انبار مهمات‌شان اضافه کردند.
بارهای اضافی ناشی از کمپین‌های استخراج ارزهای دیجیتالی از سوی کشورهای فرانسه، روسیه، ایتالیا، اسپانیا، اوکراین، آلمان، انگلستان و برخی کشورهای دیگر دریافت می‌شد و در این حملات هدف ماشین‌های متصل به اینترنتی بوده است که پورت مربوط به سرویس RDP در آن‌ها قابل دسترسی است.
حمله کنندگان سرویس‌های آسیب‌پذیر RDP را شناسایی کرده و سپس اسکریپت‌های مبهمی را که استخراج کننده ارزهای دیجیتالی هستند، بر روی این سیستم‌ها قرار می‌دهند. این اسکریپت‌ها توانایی اجرای وظایف زمان‌بندی شده را بر روی سیستم‌های آلوده دارند.
محققان امنیتی افزوده‌اند که «حملات اکسپلویتی جدید نشان می‌دهد تا زمانی که سیستم‌ها وصله نشوند، سطح مناسبی از محرمانگی در آن‌ها رعایت نشود و وضعیت امنیت کلی آن‌ها به طور دوره‌ای پایش نشود، BlueKeep همچنان به عنوان یک تهدید جدی به کار خود ادامه خواهد داد».