بنابر گزارش Guardicore Labs، بات نت  Smominru با سرعت قابل توجه ای رو به گسترش است و روزانه حدود ۴۷۰۰ هاست را آلوده می کند.

این بات نت از سال ۲۰۱۷ فعال بوده و برای اولین بار در سال ۲۰۱۸، زمانی که بیش از نیم میلیون دستگاه را آلوده کرده بود، جزئیاتش منتشر شد. این بات نت بیشتر برروی crypto mining تمرکز داشته است. اما علاوه بر آن، اقدام به دزدیدن گذرواژه های کاربران و  نصب تروجان برروی سیستم ها نیز می کند.

بات نت Smominru ، که با عناوینی چون Hexmen و Mykings نیز شناخته میشود، امنیت دستگاه های آسیب پذیر ویندوز را با استفاده از اکسپلویت EternalBlue مورد تهدید قرار می دهد و همچنین حملات brute-force  به سرویس هایی مانند MS SQL ، RDP ، Telnet انجام می دهد.

محققان امنیتی Guardicore Labs متوجه شده اند با حذف Smominru، دوباره دستگاه مورد حمله قرار میگیرد و آلوده میشود که نشان دهنده عدم وجود وصله ی مناسب می‌باشد.

محققان با دسترسی به یکی از سرورهای اصلی مهاجمان، اطلاعاتی در رابطه با نوع داده های وارد شده به هاست های آلوده بدست آورده اند. از جمله: آدرس IP خارجی و داخلی ، اطلاعات مربوط به سیستم عامل ، CPU  load  و فرآیندهای در حال اجرا. همچنین متوجه اقدامات آن ها برای دزدیدن گذرواژه های کاربران با استفاده از Mimikatz شده اند.

در ماه آگوست ، اسومینرو موفق شد ۹۰،۰۰۰ دستگاه در سراسر جهان را با سرعت ۴،۷۰۰ سیستم در روز آلوده کند و چین ، تایوان ، روسیه ، برزیل و ایالات متحده بیشترین آمار را از آن خود کردند. در میان قربانیان ، محققان مؤسسات آموزش عالی مستقر در ایالات متحده ، شرکت های پزشکی و شرکت های امنیت سایبری مستقر در آمریکا را پیدا کردند.

Smominru تنها در ماه آگوست، موفق به آلوده کردن ۹۰،۰۰۰ دستگاه در سراسر جهان با سرعت ۴،۷۰۰ دستگاه در روز شده است. بیشترین آمار متعلق به کشورهای چین ، تایوان ، روسیه ، برزیل و ایالات متحده بوده است. موسسات آموزش عالی ایالات متحده ، شرکت های پزشکی و سازمان های امنیت سایبری آمریکا نیز جز قربانیان این حمله بوده اند.

این بات نت بعد از نفوذ به یک سیستم، به صورت پیشرفته در شبکه گسترش می یابد. بنابراین، در ماه گذشته بیش از ۴،۹۰۰ شبکه، که بیشتر آن ها متشکل از دهها دستگاه بودند، را تحت تاثیر قرار داده است. (حدود ۶۵ مورد از هاست های یک ارائه دهنده خدمات بهداشتی و درمانی در ایتالیا توسط این بات نت آلوده شده اند)

اکثر سیستم عامل های آلوده شده (۸۵ درصد) ویندوز ۷ و یا ویندوز سرور ۲۰۰۸ بوده اند که خیلی هم دور از انتظار نیست، چرا که اکسپلویت های EternalBlue برای این نسخه از پلتفرم ها به صورت آنلاین در دسترس عموم می باشد. لازم به ذکر است که سیستم عامل های Windows Server 2012 ، Windows XP و Windows Server 2003 نیز مورد حمله قرار گرفته‌اند.

اکثر دستگاه های آسیب دیده سرورهای کوچک با cpu 1-4 هسته می باشند. البته لازم به ذکر است، حدود ۲۰۰ دستگاه آلوده با بیش از ۸ هسته ( حتی یک سرور ۳۲ هسته ای) نیز شناسایی شده اند.

برای آلوده کردن سیستم ابتدا توسط یک اسکریپت PowerShell سه فایل باینری بارگیری و اجرا میشوند ( worm downloader، تروجان و MBR rootkit). سپس کاربر جدیدی به نام admin$ روی سیستم ایجاد شده واسکریپت های اضافی را برای انجام اقدامات مخرب بارگیری می کند.

زیرساخت های مهاجمان شامل بیش از ۲۰ سرور است که هر یک از آنها چندین فایل را ارائه می دهند ، و هر پرونده به ۲-۳ سرور اضافی ارجاع داده میشوند. بسیاری از پرونده ها بر روی چندین سرور میزبانی می شوند تا باعث افزایش انعطاف پذیری و مقاومت زیرساخت ها شوند.

اکثر این سرورها dedicated بوده و عمدتا در ایالات متحده واقع شده اند؛ البته  تعدادی از آن‌ها متعلق به ISP های مالزی و بلغارستان می باشد. همچنین بخش عمده ای از حملات از ISP های غربی سرچشمه می گیرد.