SOS :: Security Operation Space
29 марта, пятница, 00:00
|
Hot News:

Linux Rabbit/Rabbot внедрял майнеры на Linux-устройства

10 декабря 2018 г., понедельник, 14:25

Два варианта программы, основанные на одном и том же коде, устанавливали CNRig и CoinHive на серверы и IoT-оборудование.

Исследователи из Anomali описали алгоритм работы нового зловреда, обнаруженного в рамках изучения двух криптоджекинг-кампаний, нацеленных на устройства под управлением Linux. Штаммы Linux Rabbit и Rabbot, основанные на одном и том же коде, с августа по октябрь 2018 года атаковали компьютеры и IoT-устройства, внедряя на них программы для добычи криптовалюты Monero.

Два варианта вредоносной программы использовали одинаковые алгоритмы, но отличались целями и способами распространения.

Linux Rabbit, чья активность была зафиксирована в августе этого года, атаковал только серверы в США, России, Великобритании и Южной Корее. Кампания Rabbot продолжалась с сентября по октябрь и добавила в список целей устройства Интернета вещей. Второй штамм обладал функциями сетевого червя и эксплуатировал ряд известных брешей для проникновения в уязвимую систему.

Попав на инфицированный компьютер, Linux Rabbit связывался с командным сервером через Tor-шлюз и запрашивал полезную нагрузку, которая отличалась в зависимости от процессора атакуемой системы. На устройства, основанные на архитектуре x86, зловред устанавливал майнер CNRig, в случае использования чипсета ARM/MISP — Coinhive.

Для внедрения приложений на инфицированный компьютер Linux Rabbit взламывал его SSH-шлюз через брутфорс. Прежде чем подобрать пароль к системе, зловред проверял его местоположение и прекращал свою работу, если хост не принадлежал одной из четырех целевых стран. Кроме того, программа выполняла проверку на запуск в песочнице, а также прописывалась в файле автозагрузки rc.local и добавляла себя в список сценариев .bashrc.

Если зараженная машина оказывалась веб-сервером, зловред также внедрялся на все страницы ресурса, пытаясь установить майнер на устройства посетителей. Как выяснили исследователи, Linux Rabbit мог получать апдейты из центра управления, а также обладал системой самоуничтожения.

В отличие от первого варианта зловреда, Rabbot использовал для доставки полезной нагрузки незащищенные TCP-порты и не проверял местоположение устройства. Программа эксплуатировала уязвимости в роутерах Zyxel, баги коммуникационного оборудования Dell, а также бреши операционной системы Red Hat, чтобы проникнуть в целевую систему. Кроме того, злоумышленники атаковали системы видеонаблюдения NUUO через эксплойт Peekaboo, который позволяет нападающим получить полный контроль над IP-камерами.

Ваш голос учтён!
нравится
не нравится Рейтинг:
1
Всего голосов: 1
Комментарии

Добавить комментарий к новости

Ваше имя: *
Сообщение: *
Нет комментариев
19:45
17:45
14:45
12:45
11:45
09:45
09:45
19:45
18:45
16:45
15:45
14:45
13:45
10:45
10:45
09:45
19:45
19:45


© 2013—2024 SOS :: Security Operation Space (Пространство Операций Безопасности)  // AMS  // Обратная связь  | 0.083
Использование любых материалов, размещённых на сайте, разрешается при условии ссылки на sos.net.ua.