 |
 |
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
26 апреля, пятница, 00:00
|
|
Home | | | |
Short News | | | |
Long News | | | |
Long Reads | | | |
Support | | | |
Library |
Многофункциональный зловред, получивший кодовое имя XBash, способен атаковать системы Windows, macOS и Linux.
По словам экспертов Palo Alto Networks, многофункциональный зловред, нареченный ими XBash, способен атаковать системы Windows, macOS и Linux. Он пока находится в стадии разработки, но вполне может превратиться в серьезную угрозу.
Анализ четырех обнаруженных образцов XBash показал, что новая вредоносная программа написана на Python. Для преобразования в исполняемые файлы PE злоумышленники используют упаковщик PyInstaller.
Основным компонентом зловреда является бот, который по команде с C&C сканирует Интернет в поисках уязвимых веб-приложений и сервисов, защищенных слабым или дефолтным паролем. При этом сканирование проводится не только по случайно сгенерированным IP-адресам, как это делают Mirai и Bashlite/Gafgyt, но также по спискам доменных имен. Подобная возможность предусмотрена, видимо, для того, чтобы затруднить обнаружение вредоносной активности с помощью специальных ловушек, к которым обычно можно обращаться лишь по IP.
На настоящий момент XBash располагает тремя эксплойтами к хорошо известным уязвимостям в следующих сервисах:
Примечательно, что Windows-версия зловреда нацелена только на Redis.
Списки сервисов и портов для проведения словарных атак, которыми вооружен новобранец, весьма внушительны. В числе прочих он пытается подобрать пароли к веб-серверам (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh и Rsync. Столь обширная площадь атаки позволяет ботоводам наращивать потенциал намного быстрее конкурентов.
На взломанных Linux-системах зловред занимается вымогательством, отыскивая и уничтожая базы данных под управлением MySQL, MongoDB и PostgreSQL. Вместо содержимого базы XBash оставляет сообщение с требованием выкупа в размере 0,02 биткойна ($125), однако функций копирования файлов в его коде не обнаружено. Это означает, что, согласившись платить, жертва все равно не сможет вернуть стертые данные. Аналогичным образом действовали авторы прошлогодних масштабных атак на плохо защищенные базы данных.
Модуль для майнинга криптовалюты в настоящее время загружается только на Windows. Эксперты ожидают, что в скором времени эту функцию включат и для Linux. Обнаружен также компонент с функциональностью сетевого червя, ориентированный на Windows. Этот модуль использует утилиту LanScan для дальнейшего распространения XBash по локальной подсети, в которой находится зараженное устройство. В найденных образцах зловреда этот компонент не активирован.
По данным Palo Alto, новый ботнет начал функционировать в мае. За истекший период его операторы разбогатели лишь на 0,964 биткойна (примерно $6 тыс.), убедив 48 жертв заплатить за возврат удаленных данных.
Исследователи полагают, что за XBash стоит хорошо известная группировка Iron, создавшая одноименное вымогательское ПО, а затем переключившаяся на криптоджекинг. К слову, в Palo Alto, в отличие от Cisco, уверены, что Iron и Rocke, активность которой в последнее время заметно возросла, — это одна и та же группа.
 |
нравится | не нравится |  |
Рейтинг: | 0 |
Всего голосов: 0 |
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
| Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |
