Odmah nakon izbijanja WannaCry ransomware kampanje, otkrivena je nova prijetnja koja iskorištava “EternalBlue” (CVE-2017-0145) ranjivost. Radi se o računalnom crvu “EternalRocks” (poznat i pod nazivom “BlueDoom”) koji se širi preko SMB protokola, no za razliku od WannaCry ransomware zlonamjernog programa, ovaj koristi sedam NSA-ovih alata (Architouch, Doublepulsar, Eternalblue, Eternalchampion, Eternalromance, Eternalsynergy i Smbtouch). Otkriveni računalni crv prvi je put primijećen prošloga tjedna u srijedu, nakon što je detektiran u SMB honeypot sustavu Miroslava Štampara, člana CERT tima Zavoda za sigurnost informacijskih sustava – ZSIS.

Za razliku od WannaCry, ovaj računalni crv nema implementiranu značajku “kill-switch”. Trenutno nema mnogo zabilježenih uređaja zaraženih “EternalRocks” računalnim crvom, no ova se situacija može ubrzo promijeniti. “EternalRocks” koristi MS17-010 ranjivost za inicijalnu infekciju te preuzima Tor klijent za daljnju komunikaciju s upravljačim poslužiteljem (C&C) lociranom na .onion domeni, tzv. “Dark Web” šifriranoj mreži. Kada uspostavi vezu s C&C-om, računalni crv započinje s drugom fazom infekcije gdje preuzima drugu komponentu u obliku arhive naziva “shadowbrokers.zip”. Trenutno nije poznata osnovna svrha i sadržaj (payload) koji ostavlja na zaraženom računalu pa se pretpostavlja kako je ovo samo priprema za pokretanje budućih zlonamjernih aktivnosti. Također koristi iste nazive datoteka kao i WannaCry s očitom namjerom prikrivanja od njegove detekcije.

Indikatori kompromitacije (IoCs) te više detalja o procesu infekcije dostupni su na GitHub repozitoriju Miroslava Štampara.

Reference:

[1] https://www.bleepingcomputer.com/news/security/new-smb-worm-uses-seven-nsa-hacking-tools-wannacry-used-just-two/

[2] https://heimdalsecurity.com/blog/bluedoom-worm-eternablue-nsa-exploits/

[3] https://cert.europa.eu/static/SecurityAdvisories/2017/CERT-EU-SA2017-012.pdf