✔Кампания Zealot направлена на серверы под управлением Windows и Linux, чтобы майнить Monero - «Новости»

19 декабря 2017 971 Новости 0

По данным исследователей, злоумышленники сканируют интернет в поисках машин, уязвимых перед двумя эксплоитами: для бага в Apache Struts (CVE-2017-5638), а также для проблемы DotNetNuke ASP.NET CMS (CVE-2017-9822).

Данный баг в Apache Struts получил широкую известность осенью текущего года, когда выяснилось, что с его помощью взломали бюро кредитных историй Equifax. При этом уязвимость CVE-2017-5638 была устранена еще в начале марта 2017 года. Более того, в силу доступности эксплоитов ее почти сразу стали активно использовать злоумышленники. Так, еще весной о необходимости срочной установки обновлений предупреждали не только сами разработчики Apache Struts, но и специалисты по безопасности.

В случае Zealot на вооружении злоумышленников находятся пейлоуды, предназначенные как для Windows, так и для Linux. Кроме того, если атакующие имеют дело с машиной, работающей под управлением Windows, они применяют инструменты EternalBlue и EternalSynergy, которые хакерская группа The Shadow Brokers в прошлом году похитила у АНБ и опубликовала в открытом доступе. Это позволяет преступникам проникнуть глубже в локальную сеть пострадавшей компании, заразив как можно больше систем. На финальном этапе заражения используется PowerShell, при помощи которого на скомпрометированное устройство устанавливается майнер криптовалюты Monero.

Для Linux-систем атакующие используют Python-скрипты, которые, по мнению исследователей, позаимствованы из EmpireProject. Финальным этапом заражения также является установка майнера.

Аналитики F5 Networks отмечают, что неизвестная группировка в любой момент может заменить майнер Monero любой другой малварью, и в очередной раз призывают администраторов не забывать об установке патчей.

Исследователям удалось отследить сразу несколько криптовалютных кошельков группы, которые используются для вывода «накопанного» Monero. В настоящее время в них содержится около 8500 долларов. При этом доходы группировки могут быть существенно выше, так как злоумышленники используют множество кошельков, и специалисты признают, что наверняка сумели обнаружить далеко не все.

Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Аналитики компании F5 Networks предупредили об обнаружении сложной вредоносной кампании по взлому серверов, работающих под управлением Windows и Linux. Угроза получила название Zealot, так как злоумышленники определенно большие фанаты StarCraft: среди имен файлов и в коде малвари можно найти упоминания Zealot, Observer, Overlord, Raven и так далее. Для атак неизвестные преступники используют эксплоиты АНБ и заражают пострадавшие системы майнером криптовалюты Monero. По данным исследователей, злоумышленники сканируют интернет в поисках машин, уязвимых перед двумя эксплоитами: для бага в Apache Struts (CVE-2017-5638), а также для проблемы DotNetNuke ASP.NET CMS (CVE-2017-9822). Данный баг в Apache Struts получил широкую известность осенью текущего года, когда выяснилось, что с его помощью взломали бюро кредитных историй Equifax. При этом уязвимость CVE-2017-5638 была устранена еще в начале марта 2017 года. Более того, в силу доступности эксплоитов ее почти сразу стали активно использовать злоумышленники. Так, еще весной о необходимости срочной установки обновлений предупреждали не только сами разработчики Apache Struts, но и специалисты по безопасности. В случае Zealot на вооружении злоумышленников находятся пейлоуды, предназначенные как для Windows, так и для Linux. Кроме того, если атакующие имеют дело с машиной, работающей под управлением Windows, они применяют инструменты EternalBlue и EternalSynergy, которые хакерская группа The Shadow Brokers в прошлом году похитила у АНБ и опубликовала в открытом доступе. Это позволяет преступникам проникнуть глубже в локальную сеть пострадавшей компании, заразив как можно больше систем. На финальном этапе заражения используется PowerShell, при помощи которого на скомпрометированное устройство устанавливается майнер криптовалюты Monero. Для Linux-систем атакующие используют Python-скрипты, которые, по мнению исследователей, позаимствованы из EmpireProject. Финальным этапом заражения также является установка майнера. Аналитики F5 Networks отмечают, что неизвестная группировка в любой момент может заменить майнер Monero любой другой малварью, и в очередной раз призывают администраторов не забывать об установке патчей. Исследователям удалось отследить сразу несколько криптовалютных кошельков группы, которые используются для вывода «накопанного» Monero. В настоящее время в них содержится около 8500 долларов. При этом доходы группировки могут быть существенно выше, так как злоумышленники используют множество кошельков, и специалисты признают, что наверняка сумели обнаружить далеко не все. Источник новости - google.com