✔Ботнет Chalubo компрометирует устройства IoT, а затем использует для DDoS-атак - «Новости»

25 октября 2018 765 Новости 0

По данным исследователей, еще в августе текущего года злоумышленники использовали три вредоносных компонента в своих атаках: загрузчик, основной бот и командный скрипт Lua. При этом бот был способен работать лишь на x86 архитектуре.

Но несколько недель назад преступники переключились на использование дропера Elknot, который теперь занимается доставкой Chalubo, а ранее был замечен в работе с ботнетом Elasticsearch. Более того, появились различные версии ботов для разных архитектур. То есть теперь Chalubo представляет опасность для 32-разрядных и 64-разрядных ARM, x86, x86_64, MIPS, MIPSEL и PowerPC. Исследователи считают, что это означает, что тестирование малвари закончено, и ее авторы готовы переходить к настоящим атакам. Малварь может применяться для организации DDoS-атак (DNS- UDP- и SYN-флуда).

В сентябре 2018 года малварь начала распространяться через брутфорс-атаки на SSH-серверы. Так, на примере собственного сервера-ловушки, исследователи Sophos позволили преступникам использовать учетные данные root:admin для проникновения в систему.

Эксперты пишут, что в настоящее время малварь уже заметно отличается от других похожих угроз. Chalubo не только использует многоуровневый подход, но и применяет шифрование, которое не так часто можно встретить в составе Linux-малвари. Так как основным способом распространения малвари пока является SSH-брутфорс, исследователи напоминают, что использовать учетные данные по умолчанию — это крайне скверная идея.

Источник новости - google.com

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.

Эксперты компании Sophos опубликовали отчет о ботнете Chalubo (ChaCha-Lua-bot), который объединяет в себе код Xor.DDoS и Mirai, а также использует интересные техники защиты от анализа. Так, авторы малвари шифруют оба ее основных компонента, используя Lua-скрипт и поточные шифры ChaCha. По данным исследователей, еще в августе текущего года злоумышленники использовали три вредоносных компонента в своих атаках: загрузчик, основной бот и командный скрипт Lua. При этом бот был способен работать лишь на x86 архитектуре. Но несколько недель назад преступники переключились на использование дропера Elknot, который теперь занимается доставкой Chalubo, а ранее был замечен в работе с ботнетом Elasticsearch. Более того, появились различные версии ботов для разных архитектур. То есть теперь Chalubo представляет опасность для 32-разрядных и 64-разрядных ARM, x86, x86_64, MIPS, MIPSEL и PowerPC. Исследователи считают, что это означает, что тестирование малвари закончено, и ее авторы готовы переходить к настоящим атакам. Малварь может применяться для организации DDoS-атак (DNS- UDP- и SYN-флуда). В сентябре 2018 года малварь начала распространяться через брутфорс-атаки на SSH-серверы. Так, на примере собственного сервера-ловушки, исследователи Sophos позволили преступникам использовать учетные данные root:admin для проникновения в систему. Эксперты пишут, что в настоящее время малварь уже заметно отличается от других похожих угроз. Chalubo не только использует многоуровневый подход, но и применяет шифрование, которое не так часто можно встретить в составе Linux-малвари. Так как основным способом распространения малвари пока является SSH-брутфорс, исследователи напоминают, что использовать учетные данные по умолчанию — это крайне скверная идея. Источник новости - google.com