Исследователи обнаружили масштабную вредоносную кампанию ботнета Neutrino, направленную на внедрение майнеров на веб-серверы. Ее отличительная черта — агрессивное поведение по отношению к конкурентам: при обнаружении стороннего вредоносного ПО Neutrino взламывает его веб-интерфейс и перехватывает управление.

Аналитики полагают, что все происходящее представляет собой очередной этап эволюции трояна, также известного как Kasidet. Этот зловред на пике своей популярности генерировал до 85% трафика эксплойт-паков. Со временем операторы свернули его активность, однако теперь Neutrino возвращается в виде криптоботнета.

Показать связанные сообщения

Шпионское приложение пришлось дважды удалять из Google Play

23 августа 2019 , 19:12

Kaspersky: DDoS-атаки профессионалов участились

11 августа 2019 , 13:31

Обновленный ботнет Echobot нарастил число эксплойтов до 61

11 августа 2019 , 09:42

Зловред заражает веб-серверы через целый набор уязвимостей:

• атакует Oracle WebLogic через CVE 2017-10271 и CVE-2018-2628;
  
• взламывает Apache Struts 2 с помощью CVE-2017-5638;
  
• ищет системы phpMyAdmin без защиты или со слабыми паролями.

Помимо функции сканирования, в коде Neutrino также предусмотрена возможность принимать команды с удаленного сервера и делать снимки экрана. Но наибольший интерес экспертов вызвали опции, направленные против других киберпреступников.

Так, зловред умеет похищать токены Ethereum из незащищенных хранилищ, используя список дефолтных паролей. По словам специалистов, в июне 2018 года преступники похитили таким образом криптовалюту на сумму в 20 млн долларов.

Второй вектор атаки направлен на сторонние бэкдоры, которые Neutrino ищет в пораженных системах. Зловред определяет 162 различные веб-оболочки, используемые для скрытого доступа к интернет-серверам. При их обнаружении он пытается подобрать к ним код доступа и в случае успеха берет бэкдор под контроль. Таким образом, Neutrino поглощает конкурирующие ботнеты.

Как установили исследователи, основную часть жертв нынешней кампании составляют Windows-серверы, на которых работает система phpStudy. Это виртуальная образовательная среда, которую используют многие веб-разработчики.

Кроме того, среди зараженных серверов обнаружилось 20 тыс. систем phpMyAdmin — зловред взламывает их через уязвимость CVE-2010-3055. В тех случаях, когда на целевой системе установлен патч для этого бага, преступники пытаются подобрать пароль, чтобы удалить с сервера данные и потребовать за них выкуп. Специалисты рекомендуют пользователям phpMyAdmin установить сильный пароль для основного аккаунта и проверить наличие всех обновлений безопасности.

За время исследования Neutrino несколько раз обновился, получив новые эксплойты. Это говорит о том, что операторы зловреда активно поддерживают свой продукт, а значит, в ближайшее время его угроза будет только расти.

https://threatpost.ru/neutrino-reinc...etitors/33857/