Alguien está utilizando la vulnerabilidad SambaCry para instalar un troyano Backdoors en los dispositivos Linux que utilicen versiones anteriores del servidor de intercambio de archivos Samba
De acuerdo con expertos de Trend Micro, la mayoría de los ataques se han dirigido a aparatos de almacenamiento conectados a la red (NAS), algunos de los cuales vienen con el servidor Samba para proporcionar interoperabilidad de intercambio de archivos entre diferentes sistemas operativos.SHELLBIND backdoors desplegado a través de exploit SambaCry
El malware, apodado por los investigadores SHELLBIND, aprovecha una vulnerabilidad llamado SambaCry (o EternalRed) que se dio a conocer públicamente en el final de mayo de 2017.La vulnerabilidad CVE-2017-7494, afecta a todas las versiones del software Samba lanzado en los últimos siete años, a partir de la versión 3.5.0 en adelante.
Dos semanas después de que el equipo de Samba parches de software y sus detalles de la vulnerabilidad se hizo público, alguien utilizó para infectar SambaCry servidores Linux e instalar un minero llamado criptomoneda EternalMiner.
SHELLBIND abre una puerta trasera en el puerto 61422
Los ataques EternalMiner continuaron propagandose en el último mes, pero el día de hoy, Trend Micro dio a conocer un informe sobre el nuevo software malicioso SHELLBIND que también fue visto como cayó la carga útil final en los ataques que aprovechan vulnerabilidades SambaCry.Según los investigadores, SHELLBIND es un troyano de puerta trasera que permite a los atacantes abrir un shell remoto en los dispositivos infectados.
El troyano está configurado para alterar las reglas de firewall local y el puerto TCP 61422 abierta, por lo que el atacante puede conectarse a dispositivos comprometidos.
SHELLBIND su autor informa que infectó a un nuevo dispositivo haciendo ping a un servidor ubicado en el 169.239.128.123 a través del puerto 80. El autor de malware extrae nuevas IPs de los registros del servidor y de forma manual se conecta a cada host infectado a través 61422 puerto.
El acceso de SHELLBIND está protegido por contraseña. La contraseña estaba predefinida en el código del troyano y es "Q8pGZFS7N1MObJHf".
SHELLBIND los más probable que sea utilizada para el robo de datos
En comparación con EternalMiner, dirigido principalmente a los servidores Linux, SHELLBIND fue visto principalmente en los dispositivos NAS, aunque también infecta otros tipos de equipo de la IO con versiones vulnerables de Samba.Sobre la base de las características del malware y la naturaleza de sus ataques dirigidos, es seguro especular que un actor de amenaza está buscando datos para robar y posiblemente venden en foros de hacking, o utilizar para mantener las empresas para el rescate.
Este evento no es el primer incidente de seguridad que afecta a los dispositivos NAS. A principios de año, el investigador de seguridad Zenofex descubierto varias vulnerabilidades que afectan a varios modelos de dispositivos WD MyCloud NAS.
En septiembre de 2016, una variante de malware llamado Mal / Miner-C (también conocido como PhotoMiner ) infecto dispositivos Seagate NAS y los utilizó para minas para el criptomoneda Monero.
Fecha actualización el 2021-7-19. Fecha publicación el 2017-7-19. Categoría: Malware. Autor: Oscar olg Mapa del sitioFuente: bleepingcomputer