Ботнет для майнинга Monero использует 500 тысяч Windows-машин

Исследователи из Proofpoint установили, что в состав ботнета, как минимум восемь месяцев используемого для скрытного майнинга Monero, ныне входит более 500 тыс. зараженных Windows-машин, пишет Threatpost.

По оценкам экспертов, за это время ботоводы Smominru, он же MyKings и Ismo, успели разбогатеть на 8,9 тыс. XMR (более 2 млн долларов), используя чужие вычислительные мощности.

Proofpoint отслеживает активность данного ботнета с конца мая. Недавно исследователи подменили центры управления Smominru по методу sinkhole и благодаря этому обнаружили более 526 тыс. зараженных устройств — в основном, серверов Windows. Больше всего заражений выявлено в России (около 130 тыс.), Индии и на Тайване.

Год назад эксперты «Лаборатории Касперского» проанализировали код бота, на котором построен Smominru, и предупредили интернет-сообщество о новой опасности. На тот момент ботнет использовался для распространения DDoS-зловреда Mirai, который устанавливался на сетевые устройства и IoT-гаджеты посредством брутфорса Telnet. Из других возможных векторов исследователи также отметили инъекции SSH, SMI и SQL.

В следующий раз Smominru объявился на радарах ИБ-исследователей в июле. Как обнаружили в Trend Micro, для проникновения в систему зловред начал использовать утекший в Сеть эксплойт EternalBlue (к уязвимости CVE-2017-0144 в протоколе SMB). Рабочие скрипты бота исполняются в памяти с помощью Windows-службы WMI (Windows Management Instrumentation), обеспечивая связь с C&C для получения команд, а также установку полезной нагрузки. Как оказалось, злоумышленники переключились на более привлекательный источник дохода и теперь загружают на ботнет майнер Monero.

Публикуя результаты sinkholing, эксперты Proofpoint пишут, что обнаружили как минимум 25 хостов, проводящих эксплойт-атаки EternalBlue; все они размещены в американской сети AS63199. Кроме основного эксплойта, злоумышленники, по всей видимости, используют EsteemAudit (к уязвимости CVE-2017-0176 в RDP-протоколе Windows XP). Командная инфраструктура Smominru размещена в сети компании SharkTech, специализирующейся на защите от DDoS и иных веб-услугах. Proofpoint уведомила сервис-провайдера о злоупотреблении, однако ответ пока не получила.

Исследователи обратились также в MineXMR — к операторам майнингового пула Monero, и те заблокировали текущий адрес кошелька ботоводов. В ответ злоумышленники начали регистрировать новые домены и обзавелись другим криптокошельком, но в итоге потеряли контроль над третью ботнета.