Неизвестные злоумышленники эксплуатируют уязвимость SambaCry для установки бэкдоров на Linux-устройствах, использующих старые версии файлообменного сервера Samba.

Подробности об уязвимости SambaCry, также известной как EternalRed (CVE-2017-7494), были раскрыты в мае текущего года. Спустя две недели после ее публичного раскрытия хакеры стали эксплуатировать уязвимость для заражения Linux-серверов майнером криптовалюты EternalMiner. Теперь эксперты Trend Micro обнаружили , что в атаках с эксплуатацией SambaCry также используется вредоносное ПО SHELLBIND.

SHELLBIND представляет собой простой бэкдор-троян, позволяющий удаленно открывать оболочку на инфицированных устройствах. Вредонос изменяет политики локального межсетевого экрана и открывает TCP-порт 61422, благодаря чему атакующий может подключаться к взломанному устройству. SHELLBIND сообщает своему оператору об успешном заражении, пингуя сервер 169[. ]239[. ]128[.

]123 через порт 80. Атакующий извлекает новые IP-адреса из журнала сервера и вручную подключается к каждому инфицируемому хосту через порт 61422. Доступ к оболочке трояна защищен паролем, вшитым в код вредоноса.

В отличие от EternalMiner, инфицирующем в основном Linux-серверы, SHELLBIND был обнаружен преимущественно на сетевых хранилищах данных (NAS), хотя он заражал и другие устройства «Интернета вещей» (IoT).