ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
01.06.2019, 01:46
|
|
Познавший АНТИЧАТ
Регистрация: 24.04.2009
Сообщений: 1,730
Провел на форуме:
30140275
Репутация:
3256
|
|
Эксперты Intezer обнаружили ранее неизвестный вредоносный инструмент, включающий в себя руткит уровня пользователя, троян и установочный скрипт. По мнению экспертов, авторы комплекта, получившего название HiddenWasp, использовали части кода других зловредов, чтобы получить необходимый набор функций. Новый штамм плохо детектируется антивирусными системами и, скорее всего, используется в целевых атаках как полезная нагрузка второго уровня на уже скомпрометированных Linux-машинах.
Исследователи не смогли определить механизм заражения, который используют создатели зловреда. Известно, что на целевом хосте разворачивается дроппер, который создает аккаунт пользователя с заранее заданными логином и паролем, а также обращается к файловому серверу для доставки других модулей комплекта. Специалисты отмечают азиатские корни вредоносной программы — она использует хранилище в Гонконге, а названия некоторых файлов указывают на китайскую компанию, оказывающую услуги по криминалистической экспертизе.
В отличие от других подобных разработок, HiddenWasp не ориентирован на DDoS-атаки или загрузку майнеров криптовалюты. По мнению ИБ-специалистов, этот инструмент предназначен для перехвата управления скомпрометированной машиной. Совместная работа трояна и руткита дает нападающим возможность скрытно загружать на зараженный компьютер файлы, копировать содержимое дисков, запускать программы и принудительно завершать активные процессы в зараженной системе.
Аналитики отмечают, что в коде HiddenWasp найдены фрагменты, позаимствованные у других зловредов. Так, некоторые переменные окружения указывают на родство с opensource-руткитом Azazel, алгоритм расшифровки строк, необходимых для работы руткита, — на связь с Mirai, а отдельные хэши MD5 совпадают с секретными последовательностями, включенными в имплант Elknot. Состав чужих компонентов также позволяет судить о происхождении комплекта — большая часть из них связана с китайскими преступными группировками.
По своей структуре вредоносный пакет более всего напоминает Linux-вариант трояна Winnti, первые атаки которого датируются 2015 годом. В нем, так же как и в HiddenWasp, отдельный модуль отвечает за маскировку вредоносных действий в системе, а другой обеспечивает бэкдор.
31.05.2019
https://threatpost.ru/linux-malware-...rograms/32881/ |
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
