Die unter dem Namen DirtyMoe bekannte Malware hat neue wurmähnliche Verbreitungsfähigkeiten erlangt, die es ihr ermöglichen, ihre Reichweite zu vergrößern, ohne dass ein Eingreifen des Nutzers erforderlich ist, wie neueste Untersuchungen zeigen.
„Das Wurm-Modul zielt auf ältere bekannte Schwachstellen ab, z. B. EternalBlue und Hot Potato Windows Privilege Escalation“, so Avast-Forscher Martin Chlumecký in einem am Mittwoch veröffentlichten Bericht.
„Ein Wurm-Modul kann hunderttausende von privaten und öffentlichen IP-Adressen pro Tag generieren und angreifen; viele Opfer sind gefährdet, da viele Rechner noch ungepatchte Systeme oder schwache Passwörter verwenden.“
Das DirtyMoe-Botnetz ist seit 2016 aktiv und wird für Cryptojacking- und Distributed-Denial-of-Service (DDoS)-Angriffe eingesetzt. Die Verbreitung erfolgt über externe Exploit-Kits wie PurpleFox oder injizierte Installationsprogramme des Telegram Messenger.
Teil der Angriffssequenz ist auch ein DirtyMoe-Dienst, der den Start von zwei zusätzlichen Prozessen auslöst, nämlich dem Core und dem Executioner, die zum Laden der Module für das Monero-Mining und zur wurmartigen Verbreitung der Malware verwendet werden.
Die Wurm-Module greifen die Rechner der Opfer an, indem sie mehrere Schwachstellen nutzen, um die Malware zu installieren, wobei jedes Modul auf der Grundlage der nach der Erkundung gesammelten Informationen auf eine bestimmte Schwachstelle abzielt –
CVE-2019-9082: ThinkPHP – Mehrere PHP Injection RCEs
CVE-2019-2725: Oracle Weblogic Server – ‚AsyncResponseService‘ Deserialization RCE
CVE-2019-1458: WizardOpium Lokale Privilegieneskalation
CVE-2018-0147: Schwachstelle in der Deserialisierung
CVE-2017-0144: EternalBlue SMB Remote Code Execution (MS17-010)
MS15-076: RCE ermöglicht Privilegienerweiterung (Hot Potato Windows Privilege Escalation)
Wörterbuchangriffe auf MS SQL Server, SMB und Windows Management Instrumentation (WMI) Dienste mit schwachen Passwörtern
„Das Hauptziel des Wurm-Moduls ist es, RCE unter Administratorrechten zu erreichen und eine neue DirtyMoe-Instanz zu installieren“, erklärte Chlumecký und fügte hinzu, dass eine der Kernfunktionen der Komponente darin besteht, eine Liste von IP-Adressen zu erstellen, die angegriffen werden sollen, basierend auf dem geologischen Standort des Moduls.
Außerdem wurde festgestellt, dass ein weiteres, in der Entwicklung befindliches Wurm-Modul Exploits für PHP, Java Deserialization und Oracle Weblogic Server enthält, was darauf hindeutet, dass die Angreifer die Reichweite der Infektionen ausweiten wollen.
„Die Ziel-IPs des Wurms werden mithilfe eines ausgeklügelten Algorithmus generiert, der die IP-Adressen gleichmäßig auf der ganzen Welt und in Bezug auf den geologischen Standort des Wurmmoduls erzeugt“, so Chlumecký. „Außerdem zielt das Modul auf lokale/heimische Netzwerke ab. Deshalb sind öffentliche IPs und sogar private Netzwerke hinter Firewalls gefährdet.“