mail156
24.08.2019, 15:39
Исследователи обнаружили масштабную вредоносную кампанию (https://www.zdnet.com/article/a-botnet-has-been-cannibalizing-other-hackers-web-shells-for-more-than-a-year/) ботнета Neutrino, направленную на внедрение майнеров на веб-серверы. Ее отличительная черта — агрессивное поведение по отношению к конкурентам: при обнаружении стороннего вредоносного ПО Neutrino взламывает его веб-интерфейс и перехватывает управление.
Аналитики полагают, что все происходящее представляет собой очередной этап эволюции трояна, также известного как Kasidet. Этот зловред на пике своей популярности генерировал до 85% трафика (https://threatpost.ru/nuclear-angler-exploit-kit-activity-has-disappeared/16845/) эксплойт-паков. Со временем операторы свернули его активность (https://threatpost.ru/rig_sovershenstvuetsja_neutrino_ushel_v_ten/18500/), однако теперь Neutrino возвращается в виде криптоботнета.
Показать связанные сообщения
Шпионское приложение пришлось дважды удалять из Google Play (https://threatpost.ru/radio-balouch-gets-booted-from-google-play-twice/33854/)
23 августа 2019 , 19:12
Kaspersky: DDoS-атаки профессионалов участились (https://threatpost.ru/kaspersky-on-ddos-q2-2019/33749/)
11 августа 2019 , 13:31
Обновленный ботнет Echobot нарастил число эксплойтов до 61 (https://threatpost.ru/echobot-armed-with-61-exploit/33746/)
11 августа 2019 , 09:42
Зловред заражает веб-серверы через целый набор уязвимостей:
атакует Oracle WebLogic через CVE 2017-10271 (https://threatpost.ru/weblogic-exploits-get-easy-money-for-cybercrooks/24093/) и CVE-2018-2628 (https://threatpost.ru/april-patch-for-oracle-weblogic-can-be-bypassed/25897/);
взламывает Apache Struts 2 с помощью CVE-2017-5638 (https://threatpost.ru/hackers-scan-servers-for-apache-struts-vulnerability-again/25286/);
ищет системы phpMyAdmin без защиты или со слабыми паролями.
Помимо функции сканирования, в коде Neutrino также предусмотрена возможность принимать команды с удаленного сервера и делать снимки экрана. Но наибольший интерес экспертов вызвали опции, направленные против других киберпреступников.
Так, зловред умеет похищать токены Ethereum из незащищенных хранилищ, используя список дефолтных паролей. По словам специалистов, в июне 2018 года преступники похитили (https://cryptoslate.com/hackers-scoop-20-million-in-eth-from-exposed-ethereum-nodes/) таким образом криптовалюту на сумму в 20 млн долларов.
Второй вектор атаки направлен на сторонние бэкдоры, которые Neutrino ищет в пораженных системах. Зловред определяет 162 различные веб-оболочки, используемые для скрытого доступа к интернет-серверам. При их обнаружении он пытается подобрать к ним код доступа и в случае успеха берет бэкдор под контроль. Таким образом, Neutrino поглощает конкурирующие ботнеты.
Как установили исследователи, основную часть жертв нынешней кампании составляют Windows-серверы, на которых работает система phpStudy. Это виртуальная образовательная среда, которую используют многие веб-разработчики.
Кроме того, среди зараженных серверов обнаружилось 20 тыс. систем phpMyAdmin — зловред взламывает их через уязвимость CVE-2010-3055 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3055). В тех случаях, когда на целевой системе установлен патч для этого бага, преступники пытаются подобрать пароль, чтобы удалить с сервера данные и потребовать за них выкуп. Специалисты рекомендуют пользователям phpMyAdmin установить сильный пароль для основного аккаунта и проверить наличие всех обновлений безопасности.
За время исследования Neutrino несколько раз обновился, получив новые эксплойты. Это говорит о том, что операторы зловреда активно поддерживают свой продукт, а значит, в ближайшее время его угроза будет только расти.
https://threatpost.ru/neutrino-reincarnation-as-a-botnet-devours-competitors/33857/
Аналитики полагают, что все происходящее представляет собой очередной этап эволюции трояна, также известного как Kasidet. Этот зловред на пике своей популярности генерировал до 85% трафика (https://threatpost.ru/nuclear-angler-exploit-kit-activity-has-disappeared/16845/) эксплойт-паков. Со временем операторы свернули его активность (https://threatpost.ru/rig_sovershenstvuetsja_neutrino_ushel_v_ten/18500/), однако теперь Neutrino возвращается в виде криптоботнета.
Показать связанные сообщения
Шпионское приложение пришлось дважды удалять из Google Play (https://threatpost.ru/radio-balouch-gets-booted-from-google-play-twice/33854/)
23 августа 2019 , 19:12
Kaspersky: DDoS-атаки профессионалов участились (https://threatpost.ru/kaspersky-on-ddos-q2-2019/33749/)
11 августа 2019 , 13:31
Обновленный ботнет Echobot нарастил число эксплойтов до 61 (https://threatpost.ru/echobot-armed-with-61-exploit/33746/)
11 августа 2019 , 09:42
Зловред заражает веб-серверы через целый набор уязвимостей:
атакует Oracle WebLogic через CVE 2017-10271 (https://threatpost.ru/weblogic-exploits-get-easy-money-for-cybercrooks/24093/) и CVE-2018-2628 (https://threatpost.ru/april-patch-for-oracle-weblogic-can-be-bypassed/25897/);
взламывает Apache Struts 2 с помощью CVE-2017-5638 (https://threatpost.ru/hackers-scan-servers-for-apache-struts-vulnerability-again/25286/);
ищет системы phpMyAdmin без защиты или со слабыми паролями.
Помимо функции сканирования, в коде Neutrino также предусмотрена возможность принимать команды с удаленного сервера и делать снимки экрана. Но наибольший интерес экспертов вызвали опции, направленные против других киберпреступников.
Так, зловред умеет похищать токены Ethereum из незащищенных хранилищ, используя список дефолтных паролей. По словам специалистов, в июне 2018 года преступники похитили (https://cryptoslate.com/hackers-scoop-20-million-in-eth-from-exposed-ethereum-nodes/) таким образом криптовалюту на сумму в 20 млн долларов.
Второй вектор атаки направлен на сторонние бэкдоры, которые Neutrino ищет в пораженных системах. Зловред определяет 162 различные веб-оболочки, используемые для скрытого доступа к интернет-серверам. При их обнаружении он пытается подобрать к ним код доступа и в случае успеха берет бэкдор под контроль. Таким образом, Neutrino поглощает конкурирующие ботнеты.
Как установили исследователи, основную часть жертв нынешней кампании составляют Windows-серверы, на которых работает система phpStudy. Это виртуальная образовательная среда, которую используют многие веб-разработчики.
Кроме того, среди зараженных серверов обнаружилось 20 тыс. систем phpMyAdmin — зловред взламывает их через уязвимость CVE-2010-3055 (https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3055). В тех случаях, когда на целевой системе установлен патч для этого бага, преступники пытаются подобрать пароль, чтобы удалить с сервера данные и потребовать за них выкуп. Специалисты рекомендуют пользователям phpMyAdmin установить сильный пароль для основного аккаунта и проверить наличие всех обновлений безопасности.
За время исследования Neutrino несколько раз обновился, получив новые эксплойты. Это говорит о том, что операторы зловреда активно поддерживают свой продукт, а значит, в ближайшее время его угроза будет только расти.
https://threatpost.ru/neutrino-reincarnation-as-a-botnet-devours-competitors/33857/