De EternalBlue-exploit van de NSA die eerder door de WannaCry-ransomware en Adylkuzz-miner werd gebruikt wordt nu ook door aanvallers ingezet om servers met een backdoor te infecteren. Dat meldt het Amerikaanse beveiligingsbedrijf FireEye.

De EternalBlue-exploit maakt gebruik van een SMB-lek in Windows. Zodra de nu waargenomen aanvallers via deze kwetsbaarheid toegang tot een machine hebben verkregen openen ze een shell om instructies in een VBScript-bestand te zetten. Dit bestand wordt uitgevoerd en downloadt de uiteindelijke lading van een andere server. Het gaat om de Gh0st RAT (remote acces trojan) en de Nitol-backdoor. Het exemplaar van de Gh0st RAT bleek met een geldig digitaal certificaat te zijn gesigneerd. Iets dat volgens de onderzoekers steeds vaker voorkomt.

Onlangs werd de EternalBlue-exploit aan de populaire hackertool Metasploit toegevoegd. Dit maakt het volgens de onderzoekers veel eenvoudiger voor aanvallers om het SMB-lek aan te vallen. Ze verwachten de komende weken en maanden dan ook meer aanvallers die de kwetsbaarheid zullen gebruiken om malware te verspreiden.

Bron: Security.nl