Suicide
10.12.2018, 19:27
Исследователи из Anomali описали (https://news.softpedia.com/news/cyptojacking-campaign-used-two-malware-strains-to-target-iot-and-linux-devices-524153.shtml) алгоритм работы нового зловреда, обнаруженного в рамках изучения двух криптоджекинг-кампаний, нацеленных на устройства под управлением Linux. Штаммы Linux Rabbit и Rabbot, основанные на одном и том же коде, с августа по октябрь 2018 года атаковали компьютеры и IoT-устройства, внедряя на них программы для добычи криптовалюты Monero.
Два варианта вредоносной программы использовали одинаковые алгоритмы, но отличались целями и способами распространения.
Linux Rabbit, чья активность была зафиксирована в августе этого года, атаковал только серверы в США, России, Великобритании и Южной Корее. Кампания Rabbot продолжалась с сентября по октябрь и добавила в список целей устройства Интернета вещей. Второй штамм обладал функциями сетевого червя (https://encyclopedia.kaspersky.ru/glossary/worm/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation) и эксплуатировал ряд известных брешей для проникновения в уязвимую систему.
Попав на инфицированный компьютер, Linux Rabbit связывался с командным сервером через Tor-шлюз и запрашивал полезную нагрузку, которая отличалась в зависимости от процессора атакуемой системы. На устройства, основанные на архитектуре x86, зловред устанавливал майнер CNRig, в случае использования чипсета ARM/MISP — Coinhive.
Для внедрения приложений на инфицированный компьютер Linux Rabbit взламывал его SSH-шлюз через брутфорс. Прежде чем подобрать пароль к системе, зловред проверял его местоположение и прекращал свою работу, если хост не принадлежал одной из четырех целевых стран. Кроме того, программа выполняла проверку на запуск в песочнице, а также прописывалась в файле автозагрузки rc.local и добавляла себя в список сценариев .bashrc.
Если зараженная машина оказывалась веб-сервером, зловред также внедрялся на все страницы ресурса, пытаясь установить майнер на устройства посетителей. Как выяснили исследователи, Linux Rabbit мог получать апдейты из центра управления, а также обладал системой самоуничтожения.
В отличие от первого варианта зловреда, Rabbot использовал для доставки полезной нагрузки незащищенные TCP-порты и не проверял местоположение устройства. Программа эксплуатировала (https://threatpost.ru/mirai-gafgyt-botnets-return-to-target-infamous-apache-struts-sonicwall-flaws/28146/) уязвимости в роутерах Zyxel, баги коммуникационного оборудования Dell, а также бреши операционной системы Red Hat, чтобы проникнуть в целевую систему. Кроме того, злоумышленники атаковали системы видеонаблюдения NUUO через эксплойт Peekaboo (https://threatpost.ru/peekaboo-exploit-threats-nuuo-ip-cameras/28271/), который позволяет нападающим получить полный контроль над IP-камерами.
10.12.2018
https://threatpost.ru/linux-rabbit-rabbot-drops-cryptominer-on-linux-devices/29623/
Два варианта вредоносной программы использовали одинаковые алгоритмы, но отличались целями и способами распространения.
Linux Rabbit, чья активность была зафиксирована в августе этого года, атаковал только серверы в США, России, Великобритании и Южной Корее. Кампания Rabbot продолжалась с сентября по октябрь и добавила в список целей устройства Интернета вещей. Второй штамм обладал функциями сетевого червя (https://encyclopedia.kaspersky.ru/glossary/worm/?utm_source=threatpost&utm_medium=blog&utm_campaign=termin-explanation) и эксплуатировал ряд известных брешей для проникновения в уязвимую систему.
Попав на инфицированный компьютер, Linux Rabbit связывался с командным сервером через Tor-шлюз и запрашивал полезную нагрузку, которая отличалась в зависимости от процессора атакуемой системы. На устройства, основанные на архитектуре x86, зловред устанавливал майнер CNRig, в случае использования чипсета ARM/MISP — Coinhive.
Для внедрения приложений на инфицированный компьютер Linux Rabbit взламывал его SSH-шлюз через брутфорс. Прежде чем подобрать пароль к системе, зловред проверял его местоположение и прекращал свою работу, если хост не принадлежал одной из четырех целевых стран. Кроме того, программа выполняла проверку на запуск в песочнице, а также прописывалась в файле автозагрузки rc.local и добавляла себя в список сценариев .bashrc.
Если зараженная машина оказывалась веб-сервером, зловред также внедрялся на все страницы ресурса, пытаясь установить майнер на устройства посетителей. Как выяснили исследователи, Linux Rabbit мог получать апдейты из центра управления, а также обладал системой самоуничтожения.
В отличие от первого варианта зловреда, Rabbot использовал для доставки полезной нагрузки незащищенные TCP-порты и не проверял местоположение устройства. Программа эксплуатировала (https://threatpost.ru/mirai-gafgyt-botnets-return-to-target-infamous-apache-struts-sonicwall-flaws/28146/) уязвимости в роутерах Zyxel, баги коммуникационного оборудования Dell, а также бреши операционной системы Red Hat, чтобы проникнуть в целевую систему. Кроме того, злоумышленники атаковали системы видеонаблюдения NUUO через эксплойт Peekaboo (https://threatpost.ru/peekaboo-exploit-threats-nuuo-ip-cameras/28271/), который позволяет нападающим получить полный контроль над IP-камерами.
10.12.2018
https://threatpost.ru/linux-rabbit-rabbot-drops-cryptominer-on-linux-devices/29623/