继勒索软件 WannaCry 席卷全球后,一种新型蠕虫病毒 BlueDoom(EternalRocks)再度来袭,可通过利用 EternalBlue 等多款 NSA 黑客工具开展大规模网络攻击活动。
安全公司 HEIMDAL SECURITY 研究人员在分析 BlueDoom 样本后表示,黑客疑似将一系列不同的黑客工具整合成一套数字化武器,用于开展长期网络攻击活动。目前,BlueDoom 似乎正在为未来的网络攻击搭建一座发射台。
蠕虫病毒 BlueDoom 感染用户设备后将陆续进入休眠 24 小时以及连接 TOR 网关两个阶段。调查显示,为确保第一阶段 payload 不会在目标客户端或服务器上多次运行,BlueDoom 将会创建互斥量 BaseNamedObjects \ {8F6F00C4-B901-45fd-08CF-72FDEFF} ,并将 TOR 安装组件作为 C&C 通信信道接受第二阶段 payload。此外,payload 还适用于 32 位与 64 位 的 Windows 系统。
安全研究人员建议用户通过创建具有上述互斥量的进程来防止 BlueDoom 运行;目前,Heimdal PRO 与 Heimdal CORP 已阻止 TOR 网关和 C&C 域名,以防设备下载主要感染组件。
原作者:ANDRA ZAHARIA ,译者:青楚 ,译审:游弋
from hackernews.cc.thanks for it.