Prowli: بدافزاری که سرورها، روترها و دستگاه های اینترنت اشیاء را مورد حمله قرار داده است!

23 خرداد 1397 Prowli: بدافزاری که سرورها، روترها و دستگاه های اینترنت اشیاء را مورد حمله قرار داده است!

روابط عمومی شرکت ایدکو (توزیع کننده محصولات کسپرسکی در ایران)؛پس از کشف بات نت VPNFilter که در چند روز پیش به آن اشاره کردیم، محققان بات نتی غول آسای دیگری را کشف کرده اند که بیش از 40.0000 سرور، موردم و دستگاه های اینترنت اشیاء متعلق به بسیاری از سازمان ها را در سراسر جهان به خطر انداخته است.

این گروه مخرب که  Operation Prowli نام گرفته است، با پخش کردن بدافزار و تزریق کدهای مخرب به کنترل سرورها و وب سایت ها در سراسر جهان پرداخته است و توانسته است روش های مختلف حمله را به دست گیرد. روش های به کار گرفته در این حمله اکسپلویت ها، brute-forcing پسوردها و اکسلویت از تنظیمات ضعیف بوده است.

این کمپین مخرب توسط محققان تیم GuardiCore شناسایی شده است و در حال حاضر به آلودگی بیش از 40.000 دستگاه در بین 9.000 شرکت با دامنه های مختلف پرداخته است که این شرکت ها سازمان های دولتی، اموزشی و سرمایه گذاری را شامل می شوند.

در اینجا لیستی از دستگاه ها و سرویس های آلوده شده توسط بدافزار Prowli ذکر شده است:

  •           سرورهای Drupal و WordPress CMS که میزبانی وب سایت های مشهور را به عهده دارند.
  •           Jumla ! سروهایی که از افزونه های K2 استفاده می کنند.
  •           سرورهای پشتیبان که نرم افزار HP Data Protector را اجرا می کنند.
  •           مودم‌ های DSL
  •           سرورهای با یک پورت باز SSH
  •           phpMyAdmin
  •           جعبه های NFS
  •           سرورهای با پورت‌های SMB بدون محافظ
  •           دستگاه های اینترنت اشیاء آسیب پذیر

تمامی موارد بالا از طریق یک آسیب پذیری شناخته شده یا حدس اطلاعات ورودی دچار آلودگی شده اند.

Prowli یک ماینر کریپتوکارنسی را تزریق می کند

به علت اینکه مجرمان پشت این حمله از دستگاه های آلوده و وب سایت ها برای عملیات ماینینگ و یا اجرای اسکریپت هایی که قربانیان را به سمت وب اسیت های مخرب سوق می دهند استفاده می کنند محققان بر این باورند که هدف مجرمان پشت این حمله برای کسب درآمد بیشتر است و موارد جاسوسی و چیزهای دیگر در میان نیست.

طبق گفته ی محققان دستگاه ها با ماینرهای کریپتوکارنسی Monero  آلوده شده اند و کرمی با نام "r2r2" بدافزاری نوشته شده است که در Golang است و حملات brute-force از نوع SSH را بر روی دستگاه های آلوده اجرا می کند و اجازه می دهد تا بدافزار کنترل دستگاه های جدید را بر دست بگیرد.

اگر بخواهیم ساده تر بیان کنیم کرم "r2r2" به طور کاملا تصادفی آدرس آی پی را ایجاد می کند و به طور تکراری تلاش می کند تا بتواند ورودی های SSH را با استفاده از نام کاربری و پسورد brute force کند. پس از از بین بردن کلمه ی عبور بدافزار دستورات را بر روی سیستم قربانی اجرا می کند. این دستورات به منظور بارگیری چندین کپی از کرن برای معماری های متفاوت CPU،   ماینرکریپتوکارسی و یک فایل کانفیگ شده از یک سرور hard-code از راه دور است.

مجرمان پشت این حمله کاربران را به نصب افزونه های مخرب تحریک می کنند

اما تمام فعالیت های مخرب مجرمان به ماینرها محدود نمی شود. مجرمان همچنین از یک اپن سورس webshell با نام "WSO Web Shell" برای تغییر سرورهای آلوده استفاده می کنند. با انجام این کار مجرمان قادر خواهند بود که بازدید کنندگان وب سایت ها را به وب سایت های جعلی که افزونه های مخرب را گسترش می دهند، سوق دهند.

تیم امنیتی GuardiCore این کمپین مخرب را در چندین شبکه در سراسر جهان شناسایی و کمپین Prowli را در صنایع گوناگون کشف کرد.

محققان همچنین گفتند " طی سه هفته ما بیش از ده ها نمونه از این حملات را ا طریق بیش از 180 آی پی از کشورهای مختلف و سازمان ها شناسایی کردیم. این حملات باعث شد که ما زیرساخت های مجرمان را بررسی و یک عملیات وسیع در حمله را کشف کنیم."

چگونه از دستگاه های خود در برابر این بدافزار محافظت کنیم؟

به علت اینکه مجرمان در این حمله از چندین آسیب پذیری شناخته شده و حدس اطلاعات ورودی کاربران استفاده کرده اند پس کاربران بایستی از آپدیت بودن سیستم های خود و پچ آن ها همچنین استفاده از کلمات عبور قوی اطمینان حاصل نمایند.

ضمن اینکه کاربران همیشه بایستی از قفل بودن سیستم های خود اطمینان حاص کنند، سیستم های آسیب ذیر به گونه ای باشند که به شبکه متصل نباشند یا جدا از آن باشند.

   منبع: کسپرسکی آنلاین(ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکی، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکي نام دارد.

محصولات مرتبط

  • Kaspersky Internet Security Multi Device 2018

    هکرها و مهاجمان همیشه در حال پرسه زدن هستند، اما وقتی شما به اینترنت متصل می‌شوید، ما از شما محافظت می‌کنیم و به شما یاری می‌رسانیم تا از زندگی دیجیتالی خود در برابر مجموعه بزرگی از خطرات دیجیتالی ...

    3,228,500 ریال
    خرید
  • Kaspersky Internet Security for Android

    تلفن هوشمند و تبلت شما نیز به اندازه ی کامپیوترتان در برابر حمله های دیجیتالی آسیب پذیرند. به همین خاطر هنگام وب گردی یا استفاده از شبکه های اجتماعی، باید از آنها مراقبت کنید. ...

    1,149,500 ریال
    خرید
  • Kaspersky Total Security Multi Device

    با توجه به اینکه اعضای خانواده از برنامه‌ها و دستگاه‌های گوناگونی استفاده می‌کنند و از وب‌سایت‌های گوناگونی بازدید دارند، محافظت از آنها در برابر هکرها، مهاجمان و باج‌افزارها، کار چندان ساده‌ای ...

    4,614,500 ریال
    خرید
  • Kaspersky Cloud Password Manager

    Kaspersky Cloud Password Manager ابزار مدیریت کلمه عبور ابری کسپرسکی (KCPM) ضمن ذخیره ایمن تمامی کلمات عبور مورد استفاده شما برای وبسایت‌ها، اپلیکیشن‌ها، و شبکه‌های اجتماعی آنها را در تمامی ...

    1,731,400 ریال
    خرید
  • Kaspersky Safe Kids

    شما می توانید بر ارتباطات اینترنتی کودکان از قبیل فعالیتهای عمومی در فیسبوک، کنترل تماسها و پیامها از طریق دستگاههای اندرویدی نظارت داشته باشید. کمک شما به کودکان بهترین راهنمایی برای آنها ...

    1,731,400 ریال
    خرید
  • Kaspersky Antivirus 2018

    با توجه به اینکه بخشی زیادی از زندگی شما روی رایانه شخصی‌تان قرار دارد بسیار مهم است که بتوانید از آن به خوبی محافظت کنید. محصول «آنتی‌ویروس کسپرسکی» راهی ...

    2,304,500 ریال
    خرید
  • Kaspersky Small Office Security 5

    محافظت در حین کار سیستم امنیت دفاتر کوچک کسپرسکی برای کسب‌وکارهایی طراحی‌شده است که بین 5 تا 25 کامپیوتر و تعدادی سرور و دستگاه‌های همراه دارند. این سیستم ...

    4,158,000 ریال
    خرید

نظر خودتان را ارسال کنید


کاربر گرامی چنانچه تمایل دارید، نقد یا نظر شما به نام خودتان در سایت ثبت شود، لطفاً وارد سایت شوید.
*نظر
کلیه حقوق مادی و معنوی این سایت محفوظ و متعلق به شرکت گسترش خدمات تجارت الکترونیک ایرانیان است و هر گونه کپی برداری از آن پیگرد قانونی دارد