Nhóm nghiên cứu ATP của Microsoft Defender nói rằng các cuộc tấn công BlueKeep được phát hiện vào tháng 11 2 được kết nối với một chiến dịch khai thác tiền xu từ tháng 9, sử dụng cùng cơ sở hạ tầng chỉ huy và kiểm soát (C2).
BlueKeep là một lỗ hổng thực thi mã từ xa chưa được xác thực ảnh hưởng đến Dịch vụ Máy tính Từ xa trên Windows 7, Windows Máy chủ 2008 và Windows Máy chủ 2008 R2 và được vá bởi Microsoft vào ngày 14 tháng 5.
Nhóm nghiên cứu ATP của Microsoft Defender đã khai quật thông tin mới này kêu gọi người dùng vá ngay lập tức Windows hệ thống dễ bị tấn công BlueKeep.
Mặc dù ransomware hoặc các chủng phần mềm độc hại khác ngoài các công cụ khai thác tiền xu vẫn chưa bị loại bỏ trong các cuộc tấn công BlueKeep trong tháng này đối với các máy chưa được vá, Microsoft cảnh báo rằng các cuộc tấn công có hại hơn sẽ xảy ra trong tương lai nói rằng "khai thác BlueKeep sẽ được sử dụng để cung cấp tải trọng mạnh hơn và gây hại hơn những người khai thác tiền xu. "
"Mặc dù hiện tại chúng tôi chỉ thấy các công cụ khai thác tiền xu bị bỏ, nhưng chúng tôi đồng ý với cộng đồng nghiên cứu rằng việc khai thác CVE-2019-0708 (BlueKeep) có thể lớn. Xác định vị trí và vá các dịch vụ RDP bị lộ ngay bây giờ", Microsoft tweet.
Khách hàng được khuyến khích xác định và cập nhật các hệ thống dễ bị tổn thương ngay lập tức. – Microsoft
"Sau khi trích xuất các chỉ số thỏa hiệp và xoay vòng với nhiều thông tin tín hiệu liên quan khác nhau, các nhà nghiên cứu bảo mật của Microsoft đã phát hiện ra rằng một chiến dịch khai thác tiền xu trước đó vào tháng 9 đã sử dụng một bộ cấy chính liên hệ với cơ sở hạ tầng chỉ huy và kiểm soát được sử dụng trong chiến dịch BlueKeep Metasploit tháng 10, trong trường hợp việc khai thác không khiến hệ thống gặp sự cố, cũng đã được quan sát thấy việc cài đặt một công cụ khai thác tiền xu, "Microsoft nói.
"Điều này chỉ ra rằng những kẻ tấn công tương tự có khả năng chịu trách nhiệm cho cả các chiến dịch khai thác tiền xu, họ đã tích cực dàn dựng các cuộc tấn công khai thác tiền xu và cuối cùng kết hợp khai thác BlueKeep vào kho vũ khí của họ."
Các nhà nghiên cứu của Microsoft cũng xác nhận rằng chiến dịch BlueKeep này sử dụng mô-đun khai thác được phát hành cho khung thử nghiệm thâm nhập Metasploit vào tháng 9 giống như nhà nghiên cứu bảo mật Marcus Hutchins cũng được tìm thấy khi phân tích các bãi đổ vỡ được thu thập bởi nhà nghiên cứu Kevin Beaumont từ mạng honeypot EternalPot RDP của mình.
Tải trọng coinminer được phân phối trong chiến dịch này được Microsoft phát hiện trên các hệ thống từ Pháp, Nga, Ý, Tây Ban Nha, Ukraine, Đức, Vương quốc Anh và nhiều quốc gia khác, trong các cuộc tấn công nhắm vào các máy có dịch vụ RDP đối mặt với internet được tìm thấy qua quét cổng.
Những kẻ tấn công đã khai thác các dịch vụ RDP dễ bị tổn thương và sau đó tải xuống và thực thi một số tập lệnh PowerShell bị xáo trộn đã bỏ công cụ khai thác tiền xu làm trọng tải cuối cùng và tạo ra một nhiệm vụ theo lịch trình để duy trì.
"Các công cụ khai thác tiền xu khác được triển khai trong các chiến dịch trước đó không khai thác BlueKeep cũng được kết nối với cùng địa chỉ IP này", Microsoft cho biết thêm.
Microsoft cung cấp một phân tích mối đe dọa báo cáo có thể được tạo bởi các nhóm hoạt động bảo mật bằng Microsoft Defender Advanced Threat Protection trong khi điều tra mối đe dọa BlueKeep trong các tổ chức của họ.
Săn bắn tiên tiến truy vấn cũng có sẵn cho khách hàng Microsoft Defender ATP để giúp họ tìm kiếm nhiều thành phần của cuộc tấn công dễ dàng hơn.
Ngoài ra, nó cũng rất đáng để các tổ chức kiểm tra ba lần tiếp xúc với RDP mà họ phải đối mặt với internet.
Nó vẫn còn hơn nửa triệu hệ thống dễ bị tấn công của BlueKeep kể từ khi quét mới trong tuần này, bao gồm nhiều hệ thống org và MSP lớn nhất thế giới.
– Kevin Beaumont (@GossiTheDog) Tháng 11 7Năm 2019
