Как утверждают эксперты FireEye, эксплоит ExternalBlue, использовавшийся в рамках кампании по распространению вымогательской программы WannaCry, теперь применяется для доставки бэкдора Nitol и троянской программы для удаленного доступа Gh0st.
Как и операторы WannaCry, хакеры пользуются уязвимостью в протоколе SMB (Microsoft Server Message Block). Источником существования проблемы является механизм обработки определенных запросов в сервере Microsoft Server Message Block 1.0 (SMBv1). Благодаря ошибке в протоколе хакер может выполнять произвольный код на системе. Воспользоваться уязвимостью можно, отправив на сервер SMBv1 сформированный специальным образом пакет. Специалисты Microsoft ликвидировали проблему в марте этого года.
Gh0st – это троянская программа для удаленного доступа, которая на протяжении нескольких лет применяется разными хакерскими группами, пользующимися правительственной поддержкой, для организации кибератак на государственные органы, оппозиционных активистов и общественные организации.
Согласно информации FireEye, распространение бэкдора Nitol ранее осуществлялось посредством рассылки спама и использования уязвимости в устаревших версиях Internet Explorer.
По словам экспертов, перенос эксплоита ExternalBlue на платформу Metasploit облегчил хакерам использование уязвимостей в Windows. Специалисты прогнозируют в будущем увеличение количества атак, задействующих данные уязвимости для того, чтобы распространять вредоносные программы.
