Невідомі зловмисники експлуатують уразливість SambaCry для установки бекдор на Linux-пристроях, що використовують старі версії файлообмінного сервера Samba.

Подробиці про уразливість SambaCry, також відомої як EternalRed (CVE-2017-7494), були розкриті в травні поточного року. Через два тижні після її публічного розкриття хакери стали експлуатувати уразливість для зараження Linux-серверів Майнер криптовалюта EternalMiner. Тепер експерти Trend Micro виявили, що в атаках з експлуатацією SambaCry також використовується шкідливе ПО SHELLBIND.

SHELLBIND являє собою простий бекдор-троян, що дозволяє віддалено відкривати оболонку на інфікованих пристроях. Шкідливий змінює політики локального брандмауера і відкриває TCP-порт 61422, завдяки чому атакуючий може підключатися до зламати пристрою.

SHELLBIND повідомляє своєму оператору про успішне зараженні, пінгуя сервер 169 [. ] 239 [. ] 128 [. ] 123 через порт 80. Атакуючий дістає нові IP-адреси з журналу сервера і вручну підключається до кожного інфіковані хосту через порт 61422. Доступ до оболонки трояна захищений паролем, вшитим в код шкідливий.

На відміну від EternalMiner, інфікується в основному Linux-сервери, SHELLBIND був виявлений переважно на мережевих сховищах даних (NAS), хоча він заражав і інші пристрої «Інтернету речей» (IoT).