Специалисты Trend Micro сообщили об обнаружении вредоносной утилиты SHELLBIND. Для распространения вирус использует опасную уязвимость в платформе Samba. Напомним, ошибка была обнаружена и исправлена в мае 2017 года, однако многие компании еще не начали распространение обновлений, закрывающих уязвимость.

Уязвимость, получившая код CVE-2017-7494 (также используются названия EternalRed и SambaCry), появилась в коде еще семь лет назад (2010 год). И только выпуск версий 4.4.14, 4.5.10 и 4.6.4 полностью устранил ошибку. В официальном предупреждении отмечается, что уязвимость позволяет злоумышленникам загружать в хранилище собственные библиотеки (если система разрешает запись). В итоге сервер запускал на выполнение стороннюю библиотеку, что инициировало выполнение стороннего кода.

SHELLBIND – не единственный вирус, использующий ошибку SambaCry. К примеру, ранее специалисты обнаружили вредоносную утилиту EternalMiner (майнер криптовалюты), в основе которой также лежал данный эксплойт.

В Trend Micro рассказали, что SHELLBIND – классический бэкдор, позволяющий злоумышленнику открыть на атакованном устройстве шелл. Вирус вносит изменения в параметры локального брандмауэра, а также открывает порт 61422. Это позволяет осуществлять внешнее подключение к скомпрометированному устройству.

О заражении нового устройства вирус сообщает серверу управления, пингуя 80 порт. Операторы вредоносной программы анализируют логи сервера, собирая IP-адреса зараженных устройств. Далее злоумышленники вручную подключаются к такому устройству, используя порт 61422. Эксперты также обратили внимание, что доступ к шеллу SHELLBIND закрыт при помощи надежного пароля, который прописан в коде утилиты.

Вредоносная программа преимущественно атакует различные IoT-устройства (например, NAS), программная часть которых основана на уязвимых версиях Samba. Анализ поведение приложения позволил специалистам предположить, что SHELLBIND создавался для кражи важных данных – для вымогательства или перепродажи в сети.