نسخه جدید بات‌نت Lucifer

به گزارش کارگروه امنیت سایبربان ، به نقل از پایگاه اینترنتی BleepingComputer، نویسندگان نام این بدافزار را Satan DDoS گذاشته‌اند اما محققان امنیتی آن را Lucifer می‌نامند تا آن را از باج افزار Satan متمایز کنند.
این بات نت از CVE-۲۰۱۹-۹۰۸۱، یک آسیب‌پذیری بحرانی در فریم ورک لاراول که می‌تواند منجر به اجرای کد از راه دور شود، سوءاستفاده می‌کند. این مسئله توجه محققان واحد Palo Alto Networks را به خود جلب کرده است.
در ۲۹ ماه می یک نوع جدید از Lucifer کشف شد. در ابتدا تصور بر این بود که این بدافزار به‌منظور استخراج رمز ارز Monero به کار می‌رود، اما بعدها مشخص شد که این بدافزار دارای یک مؤلفه DDoS و همچنین یک مکانیسم خود تکثیر شونده باقابلیت سوءاستفاده از آسیب‌پذیری‌های شدید و روش جستجو فراگیر (brute-force) است.
گسترش بدافزار از طریق اکسپلویت‌های EternalBlue و EternalRomance و DoublePulsar انجام‌شده است. لیستی از اکسپلویت‌هایی که توسط اپراتورهای Lucifer مورد بهره‌برداری قرارگرفته است موارد زیر هستند:

• CVE-۲۰۱۴-۶۲۸۷

• CVE-۲۰۱۸-۱۰۰۰۸۶۱

• CVE-۲۰۱۷-۱۰۲۷۱

• ThinkPHP RCE vulnerability (CVE-۲۰۱۸-۲۰۰۶۲)

• CVE-۲۰۱۸-۷۶۰۰

• CVE-۲۰۱۷-۹۷۹۱

• CVE-۲۰۱۹-۹۰۸۱

• PHPStudy Backdoor RCE

• CVE-۲۰۱۷-۰۱۴۴

• CVE-۲۰۱۷-۰۱۴۵

• CVE-۲۰۱۷-۸۴۶۴
برای حملات جستجو فراگیر، این بدافزار به یک واژه‌نامه متشکل از ۳۰۰ گذرواژه و فقط هفت نام کاربری شاملsa" "، "SA" ، "su" ، "kisadmin" ، "SQLDebugger" ، "mssql" و "Chred۱۴۳۳" متکی است.
به‌غیراز سه اکسپلویت برای گسترش داخل شبکه، Lucifer همچنین ممکن است سیستم‌هایی را با پورت‌های باز (TCP ۱۳۵ (RPC و ۱۴۳۳ (MSSQL) اسکن کند و ترکیب نام کاربری و گذرواژه را در واژه‌نامه خود آزمایش کند. پس از وارد شدن، این بدافزار یک نسخه از خود را از طریق یک فرمان shell کپی می‌کند.
نسخه جدید این بات‌نت دارای یک قابلیت ضد تحلیل است و کاربر و نام رایانه آلوده را قبل از پیشروی بررسی می‌کند. اگر نام‌های غیرآشنایی پیدا کند که با محیط‌های تحلیل مطابقت داشته باشند، فعالیت آن متوقف می‌شود.
Unit ۴۲ بدافزار Lucifer را یک بدافزار ترکیبی جدید استخراج‌کننده رمز ارز و دارای قابلیت DDoS معرفی می‌کند که آسیب‌پذیری‌های قدیمی را برای گسترش و انجام فعالیت‌های مخرب بر روی ویندوز بکار می‌برد.