Suicide
01.06.2019, 01:46
Эксперты Intezer обнаружили (https://www.zdnet.com/article/new-hiddenwasp-malware-found-targeting-linux-systems/) ранее неизвестный вредоносный инструмент, включающий в себя руткит уровня пользователя, троян и установочный скрипт. По мнению экспертов, авторы комплекта, получившего название HiddenWasp, использовали части кода других зловредов, чтобы получить необходимый набор функций. Новый штамм плохо детектируется антивирусными системами и, скорее всего, используется в целевых атаках как полезная нагрузка второго уровня на уже скомпрометированных Linux-машинах.
Исследователи не смогли определить механизм заражения, который используют создатели зловреда. Известно, что на целевом хосте разворачивается дроппер, который создает аккаунт пользователя с заранее заданными логином и паролем, а также обращается к файловому серверу для доставки других модулей комплекта. Специалисты отмечают азиатские корни вредоносной программы — она использует хранилище в Гонконге, а названия некоторых файлов указывают на китайскую компанию, оказывающую услуги по криминалистической экспертизе.
В отличие от других подобных разработок, HiddenWasp не ориентирован на DDoS-атаки или загрузку майнеров криптовалюты. По мнению ИБ-специалистов, этот инструмент предназначен для перехвата управления скомпрометированной машиной. Совместная работа трояна и руткита дает нападающим возможность скрытно загружать на зараженный компьютер файлы, копировать содержимое дисков, запускать программы и принудительно завершать активные процессы в зараженной системе.
Аналитики отмечают, что в коде HiddenWasp найдены фрагменты, позаимствованные у других зловредов. Так, некоторые переменные окружения указывают на родство с opensource-руткитом Azazel, алгоритм расшифровки строк, необходимых для работы руткита, — на связь с Mirai (https://threatpost.ru/source-code-released-for-mirai-ddos-malware/18444/), а отдельные хэши MD5 совпадают с секретными последовательностями, включенными в имплант Elknot. Состав чужих компонентов также позволяет судить о происхождении комплекта — большая часть из них связана с китайскими преступными группировками.
По своей структуре вредоносный пакет более всего напоминает Linux-вариант трояна Winnti (https://threatpost.ru/winnti-for-linux-discovered/32731/), первые атаки которого датируются 2015 годом. В нем, так же как и в HiddenWasp, отдельный модуль отвечает за маскировку вредоносных действий в системе, а другой обеспечивает бэкдор.
31.05.2019
https://threatpost.ru/linux-malware-hiddenwasp-used-code-of-other-programs/32881/
Исследователи не смогли определить механизм заражения, который используют создатели зловреда. Известно, что на целевом хосте разворачивается дроппер, который создает аккаунт пользователя с заранее заданными логином и паролем, а также обращается к файловому серверу для доставки других модулей комплекта. Специалисты отмечают азиатские корни вредоносной программы — она использует хранилище в Гонконге, а названия некоторых файлов указывают на китайскую компанию, оказывающую услуги по криминалистической экспертизе.
В отличие от других подобных разработок, HiddenWasp не ориентирован на DDoS-атаки или загрузку майнеров криптовалюты. По мнению ИБ-специалистов, этот инструмент предназначен для перехвата управления скомпрометированной машиной. Совместная работа трояна и руткита дает нападающим возможность скрытно загружать на зараженный компьютер файлы, копировать содержимое дисков, запускать программы и принудительно завершать активные процессы в зараженной системе.
Аналитики отмечают, что в коде HiddenWasp найдены фрагменты, позаимствованные у других зловредов. Так, некоторые переменные окружения указывают на родство с opensource-руткитом Azazel, алгоритм расшифровки строк, необходимых для работы руткита, — на связь с Mirai (https://threatpost.ru/source-code-released-for-mirai-ddos-malware/18444/), а отдельные хэши MD5 совпадают с секретными последовательностями, включенными в имплант Elknot. Состав чужих компонентов также позволяет судить о происхождении комплекта — большая часть из них связана с китайскими преступными группировками.
По своей структуре вредоносный пакет более всего напоминает Linux-вариант трояна Winnti (https://threatpost.ru/winnti-for-linux-discovered/32731/), первые атаки которого датируются 2015 годом. В нем, так же как и в HiddenWasp, отдельный модуль отвечает за маскировку вредоносных действий в системе, а другой обеспечивает бэкдор.
31.05.2019
https://threatpost.ru/linux-malware-hiddenwasp-used-code-of-other-programs/32881/