EternalBlue Exploit Spread Gh0st RAT, Nitol | Threatpost


ExternalBlue, l'exploit utilisé dans l'épidémie de ransomware de WannaCry, est maintenant mis à profit pour distribuer le logiciel malveillant Nitol Backdoor et Gh0st RAT.

Les chercheurs en sécurité de FireEye ont déclaré, tout comme les criminels de WannaCry, les acteurs de la menace tirent parti de la même vulnérabilité du protocole Microsoft Server Message Block (SMB) (MS017-010).

"Nous avons remarqué que les machines de laboratoire vulnérables à l'exploit de SMB ont été attaquées par un acteur de menace utilisant l'exploit EternalBlue pour obtenir un accès shell à la machine", ont écrit les co-auteurs Ali Islam, Christopher Glyer et Barry Vengerik dans un rapport FireEye publié vendredi .

Gh0st RAT est un cheval de Troie qui a ciblé la plate-forme Windows depuis des années. Il s'agissait en fait d'un outil de l'État-nation utilisé dans les attaques de l'APT contre les organismes gouvernementaux, les militants et d'autres cibles politiques. Gh0st a récemment fait ses manchettes lorsque des cas de RAT ont été trouvés par l'outil Shodan appelé Malware Hunter, un nouveau robot d'exploration conçu pour trouver des serveurs de commande et de contrôle.

Selon FireEye, Backdoor.Nitol a été lié à des campagnes impliquant une vulnérabilité d'exécution de code à distance à l'aide de l'objet ADODB.Stream ActiveX qui affecte les anciennes versions d'Internet Explorer. Dans le passé, Backdoor.Nitol et Gh0st ont également été livrés via l'exploitation de la vulnérabilité CVE-2014-6332 et dans les campagnes anti-spam qui ciblent les commandes PowerShell, ont indiqué les chercheurs.

"La technique d'exploitation initiale utilisée au niveau SMB (par Backdoor.Nitol et Gh0st) est similaire à ce que l'on a vu dans les campagnes WannaCry; …

Lire la suite (en anglais)

N'oubliez pas de voter pour cet article !
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (No Ratings Yet)
Loading...

Vous aimerez aussi...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Font Resize
Contrast
Aller à la barre d’outils