به گزارش
گرداب، این بدافزار که پژوهشگران Palo Alto Network's Unit ۴۲ آنرا Xbash نامگذاری کردهاند، سرورهای لینوکس و ویندوز را هدف قرار میدهد و دارای قابلیتهایی است که وقتی به طور کامل پیادهسازی شوند، میتواند به سرعت در داخل شبکه سازمان گسترش یابد.
تجزیه و تحلیل پژوهشگران Palo Alto Network نشان میدهد که قابلیتهای باجافزاری و باتنتی بدافزار در سرورهای لینوکس مورد استفاده قرار گرفته و سرورهای ویندوز برای استخراج ارز و خود انتشاری استفاده شده است. قابلیت باجافزاری Xbash برای هدفگیری و حذف پایگاهدادههای مبتنی بر لینوکس طراحی شده است. متاسفانه به نظر میرسد که بدافزار حتی اگر قربانی باج را پرداخت کند، هیچ گونه عملکردی برای بازیابی دادههای از دست رفته نداشته باشد. تاکنون حداقل ۴۸ قربانی مبلغ ۶۰۰۰ دلار به مهاجمان پرداخت کردهاند، اما شواهدی مبنی بر بازیابی دادههای حذف شده توسط Xbash وجود ندارد.
ظاهرا بدافزار توسط Iron Group توسعه یافته است. این گروه پیشتر حملات باجافزاری و گسترش ابزارهای کاوش ارز را در محیطهای ویندوزی انجام داده است. به نظر میرسد این گروه با Xbash اهداف خود را گسترش داده تا سیستمهای لینوکسی را نیز هدف قرار دهد.
بر خلاف سایر بدافزارهای لینوکسی مانند Gafgyt و Mirai که دستگاههای آسیبپذیر را با آدرسهای IP تولید شده بصورت تصادفی پیدا میکنند، بدافزار Xbash دستگاههای آسیبپذیر را از طریق نام دامنه پیدا میکند. این قابلیت باعث می شود که شناسایی Xbash با استفاده از هانیپاتها دشوارتر شود. بدافزار Xbash با استفاده از آزمایش گذرواژههای ضعیف و روش brute-force وارد سرویسهای مختلف میشود. زمانی که بدافزار به سرویسی مانند MySQL یا MongoDB نفوذ میکند، تمامی پایگاهدادههای روی سرور را حذف میکند و پیام باج را به کاربر نمایش میدهد.
نمونههایی از Xbash نشان میدهد که نویسندگان آن در حال توسعه قابلیتهای جدیدی هستند تا سرورهای آسیبپذیر دیگری را نیز آلوده کنند. بدافزارهای ماژولار و چند قابلیتی تهدید جدیدی برای سازمانها هستند.
منبع: افتا