Два ботнета целенаправленно атакуют сети под Linux

0
605

Куда завозят мечты

Исследователи компаний Zscaler и Check Point сообщили об активизации
двух опасных ботнетов, целенаправленно атакующих системы под управлением
операционной системы Linux.

Первый из этих ботнетов под
названием DreamBus («автобус мечты») формируется одноименным вредоносом, который проявляет
характеристики сетевого «червя»: он способен к самостоятельному распространению
через интернет и по узлам внутренних корпоративных сетей, используя обширный
набор методик. Эксперты Zscaler отмечают, что вредонос DreamBus имеет модульную структуру, которая позволяет
быстро переориентировать его на выполнение разных задач. Cейчас он в большей части случаев устанавливает
криминальные криптомайнеры для генерации Monero, но с его помощью в любой момент можно организовать
DDoS-атаки или
заставить начать рассаживать шифровальщики по уже зараженным машинам.

В целом DreamBus атакует
преимущественно системы, обладающие значительными вычислительными мощностями.
Самым неприятным аспектом, впрочем является тот факт, что этот вредонос может
распространяться по системам, которые лишены открытого доступа в сеть: для
этого он сканирует непубличное адресное пространство RFC 1918.

ЧИТАТЬ ТАКЖЕ:  Трамп напоследок наказал облачным провайдерам США усилить шпионаж за иностранными клиентами

Среди множества модулей DreamBus — инструменты,
эксплуатирующие слабые пароли и режим «полного доверия» между различными узлами
сети, а также средства, обеспечивающие запуск неавторизованного кода в таких
приложениях как SSH, облачные приложения и базы данных и административные инструменты. Также DreamBus использует эксплойты
для уязвимостей в ApacheSpark, SaltStack, HadoopYARN и Hashi CorpConsul.

Два ботнета целенаправленно атакуют сети под Linux

Два ботнета рассаживают криптомайнеры по Linux-системам и готовят DDoS-атаки

Основным компонентом DreamBus является двоичный
файл ELF, который
распространяется через SSH (либо может быть скачан через HTTP). Контролирующая инфраструктура ботнета спрятана
в сети TOR и в
анонимных файловых хостингах. По данным телеметрии Zscaler, операторы ботнета физически базируются либо в
России, либо в какой-либо из восточноевропейских стран. Количество атакованных
систем достигает нескольких десятков тысяч.

Но, пожалуйста, не надо невменяемость терять

Второй ботнет FreakOut (от англ. «FreakOut» — валять дурака,
пугаться, паниковать, терять вменяемость) атакует уязвимые версии операционной
системы TerraMaster (предназначенной для сетевых накопителей), ZendFramework (популярный набор для создания веб-приложений и
сервисов на PHP)
или LiferayPortal
(открытое ПО для создания корпоративных порталов, написанное на Java). Все это ПО основано на
Linux

ЧИТАТЬ ТАКЖЕ:  Российские тюрьмы ни при чем. В МВД определили, что мошенники от имени банков звонят из-за рубежа

Скомпрометированные машины,
по данным экспертов CheckPoint, собираются в ботнет, который может
использоваться для DDoS-атак или добычи криптовалют.

Эксперты насчитали как
минимум 185 скомпрометированных серверов, уже являющихся частью ботнета;
большая их часть располагается в США, некоторое (значительно меньшее
количество) в Германии и Нидерландах.

Всего же, по данным
аналитиков CheckPoint, в Сети
насчитывается не менее 9 тыс. серверов, содержащих эксплуатируемые FreakOut уязвимости CVE-2020-28188 (инъекция
команды в TerraMasterOS), CVE-2020-7961 (небезопасная десериализация в LiferayPortal), CVE-2021-3007 (запуск
произвольного кода в ZendFramework).

«Обращает на себя
внимание тот факт, что все эти уязвимости — очень свежие, одна из них датирована
едва начавшимся 2021 годом, отмечает Алексей Водясов, технический директор
компании SECConsultServices).
Учитывая, что вредоносы, по данным анализировавших их экспертов, написаны очень
качественно, в обоих случаях разработками занимались профессиональные, хорошо
подготовленные и мотивированные специалисты. И качество, и
многофункциональность указывают на то, что эти ботнеты готовятся для
последующего предложения по RaaS-модели», то есть для сдачи в аренду».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь