باتنت BlueHero که در حال پویش اینترنت برای آلوده کردن سیستم ها به ماینرهای XMRig و Gh0st RAT است، از روی نام دامنه bluehero[.]in که در فایل باینری آن قرار دارد، نامگذاری شده است. این باتنت از انواع اکسپلویتهای وب استفاده کرده تا بتواند خود را در وب سرورهای وصله نشده نصب و اجرا کند. همچنین از چندین اکسپلویت دیگر نیز برای انتشار خود در سراسر شبکه، پس از آلودگی آن استفاده میکند.
نتیجه یافتهها
اخیراً تحقیقات ZScaler نشان داد که این باتنت دائماً در حال حرکت به سوی شبکههای مختلف است تا دو پی لود (ماینر XMRig و Gh0st RAT) را توزیع کند.
این باتنت برای شروع فرایند آلوده سازی، ابتدا آیپیهایی با پورت 80 و 3389 را اسکن میکند. سپس از ابزار Mimikatz برای استخراج کلمه های عبور به دست آمده از میزبانهای آلوده و ذخیره آن ها در یک فایل متنی به نام Results.txt استفاده میکند. در نهایت نیز کلمه های عبور استخراج شده، به ابزارهای PsExec و WMIC داده میشوند تا به این بدافزار برای گسترش در سایر دستگاههای شبکه و انتشار دو پیلود مخرب آن کمک کنند.
این باتنت در بخشی از فرایند آلوده سازی سعی میکند راهکارهای امنیتی سیستم از جمله فایروالها را دور بزند. محققان امنیتی خاطرنشان کرده اند که این باتنت: «اول تمام قوانین فایروال را پاک کرده و سپس چند قانون به آن اضافه میکند تا بتواند به پروتکل SMB و NetBIOS دسترسی پیدا کند».
مختصری درباره اکسپلویتهای مورد استفاده
برخی از آسیبپذیریهای برنامههای کاربردی وب که باتنت BlueHero در اکسپلویت خود از آن ها استفاده میکند، عبارتند از:
- آسیبپذیری Apache Tomcat PUT (CVE-2017-12615)
- آسیبپذیری Apache Struts RCE (CVE-2017-5638)
- آسیبپذیری سرور Oracle WebLogic (CVE-2018-2628)
- آسیبپذیری WebLogic Deserialization RCE (CVE-2019-2725)
- آسیبپذیری Oracle WebLogic Server (CVE-2017-10271)
- آسیبپذیری ThinkPHP v5 Remote Code Execution (اجرای کد از راه دور)
- آسیبپذیری Drupal Remote Code Execution (CVE-2018-7600)
- آسیبپذیری Apache Solr Remote Code Execution (CVE-2019-0193)
شیوع رو به رشد BlueHero
پژوهشگران به این نتیجه رسیده اند که برنامه نویسان باتنت BlueHero سعی دارند از اسکن RDP برای بهرهبرداری از آسیبپذیری Bluekeep که به تازگی کشف شده است، استفاده کنند. این آسیبپذیری تاکنون بر حدود یک میلیون سیستم در سطح جهان تأثیر گذاشته است. بنابراین به کاربران توصیه می شود هر چه سریعتر، به روزرسانیهای امنیتی جدید را بر روی سیستمهای خود نصب و اعمال کرده تا بتوانند در برابر حملات این باتنت ایمن باشند.