Một công cụ tấn công được cho là sử dụng bởi “Equation Group” do NSA gây ra liên quan đến công chúng gần một tuần trước đã được quan sát thấy trong các cuộc tấn công trực tiếp.

Được gọi là DoublePulsar, cửa sau đã được phát hành bởi nhóm hacker Shadow Brokers vào thứ Sáu trước kỳ nghỉ Phục Sinh, như một phần của kho lưu trữ được bảo vệ bằng mật khẩu có chứa một bộ công cụ và khai thác lớn hơn. Tuần trước, Microsoft cho biết, những khai thác mới được tiết lộ không ảnh hưởng đến các hệ thống được cập nhật.

DoublePulsar là tải trọng chính trong SMB (Server Message Block) và RDP (Remote Desktop Protocol) khai thác trong phần mềm FuzzBunch của NSA, một khuôn khổ khai thác tương tự như Metasploit, người thử nghiệm thâm nhập zerosum0x0 giải thích.

Cửa sau SMB phức tạp và đa kiến ​​trúc này có thể ẩn trên một hệ thống và tránh cảnh báo các chức năng bảo vệ được xây dựng sẵn. Kẻ tấn công có thể lây nhiễm vào hệ thống và quay lại sau một khoảng thời gian mong muốn để thực hiện các hành động xâm phạm hơn.

Nhóm phản đối của MWR InfoSecurity cũng lưu ý rằng DoublePulsar dường như là một tải trọng chế độ hạt nhân rất bí mật, đồng thời tiết lộ rằng nó bị bỏ mặc bởi nhiều lần khai thác. Các cửa sau, theo họ, có thể được sử dụng để tiêm các DLL tùy tiện vào các quy trình sử dụng đất của người sử dụng.

Sau khi phân tích sâu, Countercept phát hiện ra rằng các phần mềm độc hại sẽ liệt kê các quy trình để tìm một trong những phù hợp cho tiêm người sử dụng đất DLL và thực hiện mã. Họ cũng phát hiện ra rằng các payload sẽ quét sạch bộ nhớ cho trốn, mặc dù các phần của mã sẽ vẫn unwiped, có vẻ như.

Công ty cũng đã quyết định xây dựng một kịch bản để phát hiện sự hiện diện của cả hai phiên bản SMB và RDP của cấy ghép DoublePulsar, để giúp mọi người tìm thấy sự thỏa hiệp trong mạng của họ. Họ sẽ thực hiện lại lệnh ping của cấy ghép, có thể được sử dụng từ xa mà không cần xác thực, để xác định xem một hệ thống bị nhiễm bệnh hay không “, họ giải thích.

Vào ngày 18 tháng 4, sau khi sử dụng công cụ masscan được phát triển bởi @ErrataRob để tìm 5.502.460 máy chủ duy nhất với một cổng mở 445 (cổng SMB), Below0Day sử dụng tập lệnh dò ​​tìm của Countercept để phát hiện 30.626 máy chủ với cấy ghép DoublePulsar SMB. Ngày 21 tháng 4, cùng một máy quét đã tiết lộ 5.190.506 máy chủ bị nhiễm và 56.586 ca nhiễm bệnh, hầu hết đều nằm ở Hoa Kỳ.

Điều này cho thấy rằng khai thác được tích cực sử dụng trong các chiến dịch lây nhiễm, và số lượng các máy bị xâm nhập có vẻ như đang tăng lên nhanh chóng, có lẽ vì nhiều nam diễn viên đang bắt đầu sử dụng cấy ghép trong cuộc tấn công của họ.