EternalBlue-exploit gebruikt om servers met backdoor te infecteren
De EternalBlue-exploit van de NSA die eerder door de WannaCry-ransomware en Adylkuzz-miner werd gebruikt wordt nu ook door aanvallers ingezet om servers met een backdoor te infecteren. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye.
De EternalBlue-exploit maakt gebruik van een SMB-lek in Windows. Zodra de nu waargenomen aanvallers via deze kwetsbaarheid toegang tot een machine hebben verkregen openen ze een shell om instructies in een VBScript-bestand te zetten. Dit bestand wordt uitgevoerd en downloadt de uiteindelijke lading van een andere server. Het gaat om de Gh0st RAT (remote acces trojan) en de Nitol-backdoor. Het exemplaar van de Gh0st RAT bleek met een geldig digitaal certificaat te zijn gesigneerd. Iets dat volgens de onderzoekers steeds vaker voorkomt.