بات‌نت BlueHero؛ همچنان رو به جلو

بات‌نت BlueHero؛ همچنان رو به جلو

بات‌نت BlueHero که در حال پویش اینترنت برای آلوده کردن سیستم­ ها به ماینرهای XMRig و Gh0st RAT است، از روی نام دامنه bluehero[.]in که در فایل باینری آن قرار دارد، نامگذاری شده است. این بات‌نت از انواع اکسپلویت‌های وب استفاده کرده تا بتواند خود را در وب سرورهای وصله نشده نصب و اجرا کند. همچنین از چندین اکسپلویت دیگر نیز برای انتشار خود در سراسر شبکه، پس از آلودگی آن استفاده می‌کند.

 

نتیجه یافته‌ها

اخیراً تحقیقات ZScaler نشان داد که این بات‌نت دائماً در حال حرکت به سوی شبکه‌های مختلف است تا دو پی­ لود (ماینر XMRig و Gh0st RAT) را توزیع کند.

این بات‌نت برای شروع فرایند آلوده­ سازی، ابتدا آی‌پی‌هایی با پورت 80 و 3389 را اسکن می‌کند. سپس از ابزار Mimikatz برای استخراج کلمه­ های عبور به دست آمده از میزبان‌های آلوده و ذخیره آن ها در یک فایل متنی به نام Results.txt استفاده می‌کند. در نهایت نیز کلمه ­های عبور استخراج شده، به ابزارهای PsExec و WMIC داده می‌شوند تا به این بدافزار برای گسترش در سایر دستگاه‌های شبکه و انتشار دو پی­لود مخرب آن کمک کنند.

این بات‌نت در بخشی از فرایند آلوده ­سازی سعی می‌کند راهکارهای امنیتی سیستم از جمله فایروال‌ها را دور بزند. محققان امنیتی خاطرنشان کرده ­اند که این بات‌نت: «اول تمام قوانین فایروال را پاک کرده و سپس چند قانون به آن اضافه می‌کند تا بتواند به پروتکل SMB و NetBIOS دسترسی پیدا کند».

 

مختصری درباره اکسپلویت‌های مورد استفاده

برخی از آسیب‌پذیری‌های برنامه‌های کاربردی وب که بات‌نت BlueHero در اکسپلویت خود از آن ها استفاده می‌کند، عبارتند از:

 

شیوع رو به رشد BlueHero

پژوهشگران به این نتیجه رسیده ­اند که برنامه­ نویسان بات‌نت BlueHero سعی دارند از اسکن RDP برای بهره‌برداری از آسیب‌پذیری Bluekeep که به تازگی کشف شده است، استفاده کنند. این آسیب‌پذیری تاکنون بر حدود یک میلیون سیستم در سطح جهان تأثیر گذاشته است. بنابراین به کاربران توصیه می­ شود هر چه سریعتر، به­ روزرسانی‌های امنیتی جدید را بر روی سیستم‌های خود نصب و اعمال کرده تا بتوانند در برابر حملات این بات‌نت ایمن باشند.

خروج از نسخه موبایل