DirtyMoe僵尸网络在可工作模块中获得新的漏洞，以快速传播

被称为肮脏的最新研究发现，它获得了新的类似蠕虫的传播能力，可以在不需要任何用户交互的情况下扩大传播范围。

Avast研究人员Martin Chlumecký在周三发布的一份报告中说：“蠕虫模块针对的是较老的已知漏洞，例如永恒蓝和烫手山芋Windows权限升级。”。

“一个蠕虫模块每天可以生成和攻击数十万个私有和公共IP地址；许多受害者面临风险，因为许多机器仍然使用未打补丁的系统或弱密码。”

DirtyMoe僵尸网络攻击自2016年开始活跃，用于实施加密劫持和分布式拒绝服务（DDoS）攻击，并通过外部攻击工具包（如PurpleFox）或Telegram Messenger的注入安装程序进行部署。

作为攻击序列的一部分，还使用了DirtyMoe服务，该服务触发两个额外进程的启动，即Core和Executioner，用于加载Monero采矿模块，并以类似蠕虫的方式传播恶意软件。

The worming modules attack victim machines by using several vulnerabilities to install the malware, with each module targeting a specific flaw based on information gathered post reconnaissance –

• CVE-2019-9082:ThinkPHP–；多个PHP注入RCE
• CVE-2019-2725:Oracle Weblogic服务器–；'AsyncResponseService的反序列化
• CVE-2019-1458：本地特权升级
• CVE-2018-0147：反序列化漏洞
• CVE-2017-0144：永恒蓝SMB远程代码执行（MS17-010）
• MS15-076:RCE允许提升权限（烫手山芋Windows权限提升）
• 针对MS SQL Server、SMB和具有弱密码的Windows Management Instrumentation（WMI）服务的字典攻击

Chlumecký解释说：“worming模块的主要目标是在管理员权限下实现RCE，并安装一个新的DirtyMoe实例。”他补充说，该组件的核心功能之一是根据模块的地理位置生成要攻击的IP地址列表。

此外，另一个开发中的蠕虫模块被发现包含针对PHP、Java反序列化和Oracle Weblogic服务器的攻击，这意味着攻击者正在寻求扩大感染范围。

Chlumecký说：“蠕虫目标IP是利用精心设计的算法生成的，该算法可以根据蠕虫模块的地理位置在全球范围内均匀生成IP地址。”。“此外，该模块的目标是本地/家庭网络。因此，公共IP，甚至防火墙后面的专用网络都面临风险。”