Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Два варианта программы, основанные на одном и том же коде, устанавливали CNRig и CoinHive на серверы и IoT-оборудование.
Исследователи из Anomali описали алгоритм работы нового зловреда, обнаруженного в рамках изучения двух криптоджекинг-кампаний, нацеленных на устройства под управлением Linux. Штаммы Linux Rabbit и Rabbot, основанные на одном и том же коде, с августа по октябрь 2018 года атаковали компьютеры и IoT-устройства, внедряя на них программы для добычи криптовалюты Monero.
Два варианта вредоносной программы использовали одинаковые алгоритмы, но отличались целями и способами распространения.
Linux Rabbit, чья активность была зафиксирована в августе этого года, атаковал только серверы в США, России, Великобритании и Южной Корее. Кампания Rabbot продолжалась с сентября по октябрь и добавила в список целей устройства Интернета вещей. Второй штамм обладал функциями сетевого червя и эксплуатировал ряд известных брешей для проникновения в уязвимую систему.
Попав на инфицированный компьютер, Linux Rabbit связывался с командным сервером через Tor-шлюз и запрашивал полезную нагрузку, которая отличалась в зависимости от процессора атакуемой системы. На устройства, основанные на архитектуре x86, зловред устанавливал майнер CNRig, в случае использования чипсета ARM/MISP — Coinhive.
Для внедрения приложений на инфицированный компьютер Linux Rabbit взламывал его SSH-шлюз через брутфорс. Прежде чем подобрать пароль к системе, зловред проверял его местоположение и прекращал свою работу, если хост не принадлежал одной из четырех целевых стран. Кроме того, программа выполняла проверку на запуск в песочнице, а также прописывалась в файле автозагрузки rc.local и добавляла себя в список сценариев .bashrc.
Если зараженная машина оказывалась веб-сервером, зловред также внедрялся на все страницы ресурса, пытаясь установить майнер на устройства посетителей. Как выяснили исследователи, Linux Rabbit мог получать апдейты из центра управления, а также обладал системой самоуничтожения.
В отличие от первого варианта зловреда, Rabbot использовал для доставки полезной нагрузки незащищенные TCP-порты и не проверял местоположение устройства. Программа эксплуатировала уязвимости в роутерах Zyxel, баги коммуникационного оборудования Dell, а также бреши операционной системы Red Hat, чтобы проникнуть в целевую систему. Кроме того, злоумышленники атаковали системы видеонаблюдения NUUO через эксплойт Peekaboo, который позволяет нападающим получить полный контроль над IP-камерами.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |