Неизвестные хакеры пользуются уязвимостью SambaCry для того, чтобы устанавливать вредоносные программы на Linux-устройствах, работающие со старыми версиями сервера для обмена файлами Samba.
В мае этого года была раскрыта подробная инфорация об уязвимости SambaCry, которая также известна под названием EternalRed. Через две недели после публикации информации о проблеме злоумышленники начали пользоваться уязвимостью для того, чтобы заразить Linux-серверы программой для генерации криптовалюты (майнером) EternalMiner. Специалисты Trend Micro выяснили, что на данный момент в ходе атак с использованием SambaCry также применяется и вредоносная программа SHELLBIND.
SHELLBIND – это простая троянская программа, которая позволяет дистанционно открывать оболочку на зараженных устройствах. Вредоносное ПО меняет политики локального межсетевого экрана и открывает TCP-порт 61422, что дает злоумышленнику возможность подключиться к взломанному устройству.
SHELLBIND информирует оператора о том, что заражение произошло успешно. Взломщик похищает из журнала сервера новые IP-адреса и в ручном режиме настроил подключение к каждому целевому хосту посредством порта 61422. Оболочка троянской программы защищена паролем, который вшит в ее код.
В то время EternalMiner как заражает, прежде всего, Linux-серверы, программа SHELLBIND была найдена на сетевых хранилищах данных (NAS), несмотря на то, что она инфицировала и другие IoT-устройства.
