Все новости о вирусах и антивирусах

[student]

Десятки тысяч Mac по всему миру заражены неизвестным зловредом

Он содержит механизмы самоуничтожения, которые удаляют все следы вредоносного ПО с заражённых устройств

Новости о заражении компьютеров Mac вредоносными программами относительно редки, однако новая информация о заражении почти 30 000 устройств Mac вызывает беспокойство у специалистов из-за ее сложной природы и отсутствия доступной информации.

Исследователи Red Canary обнаружили новую разновидность вредоносного ПО для macOS, которую они назвали Silver Sparrow. Вредоносная программа является странной по многим причинам, главным из которых является то, что до сих пор она оставалась в основном бездействующей. Несмотря на то, что она обменивается данными с управляющими серверами один раз в час, ожидая выполнения потенциально вредоносных двоичных файлов, на данный момент Silver Sparrow не нанёс вреда заражённым компьютерам.

Помимо варианта Intel x86_64, обнаружен аналог для Apple M1. Обе версии содержат «двоичные файлы сторонних наблюдателей», которые при запуске выводят сообщения «Hello World!» и «Ты сделал это!». Вывод подобных сообщений на экран не является серьёзной проблемой, но потенциально зловред может начать выполнять какую-то работу по запросу c серверов управления. Red Canary подчеркнул, что сложная инфраструктура эффективно использует сети CDN и AWS, что затрудняет отслеживание и удаление.

Еще один интересный факт о Silver Sparrow заключается в том, что он содержит механизмы самоуничтожения, которые удаляют все следы вредоносного ПО с заражённых устройств. Этот механизм не наблюдался по умолчанию на заражённых компьютерах, а это означает, что он был загружен произвольно на основе выполнения неизвестных в настоящее время условий.

Red Canary сообщила, что по состоянию на 17 февраля 2021 было заражено 29 139 устройств с macOS, которые находятся в 153 странах.

[Iskander]

Вот последние новости о работе над безопасностью WordPress от WordPress клуба, работа в этом направлении ведётся таки: https://clubwp.ru/

[student]

Новый вирус Kobalos атаковал суперкомпьютеры в Европе, Америке и Азии

Специалисты международной компании Eset обнаружили вредоносное ПО, которое атакует суперкомпьютеры — кластеры высокопроизводительных компьютеров (HPC). Целями Kobalos в Европе стали научно-исследовательские и университетские сети, хостинг-провайдер и крупное маркетинговое агентство. Среди других целей был крупный азиатский интернет-провайдер, североамериканский поставщик антивирусных продуктов, а также несколько частных и правительственных серверов.

Спойлер   :

Эксперты по кибербезопасности отметили небольшие размеры и сложность вредоносного ПО, которое можно переносить на разные операционные системы, включая Linux, BSD, Solaris и, возможно, AIX и Windows.

«Мы назвали эту вредоносную программу Kobalos из-за крошечного размера кода и множества уловок. В греческой мифологии Кобалосы — это маленькие озорные существа, которые пугают смертных и даже умудрились ограбить Геракла. Надо сказать, что такой уровень сложности редко встречается во вредоносных программах для Linux», — пояснил Марк-Этьен Левейле, исследователь Eset.
Kobalos — это бэкдор, содержащий широкий спектр команд, которые не раскрывают намерений злоумышленников. Вирус предоставляет удаленный доступ к файловой системе, дает возможность запускать терминальные сеансы и позволяет осуществлять прокси-соединения с другими серверами, зараженными Kobalos.

«Любой сервер, взломанный Kobalos, может быть превращен в сервер управления и контроля (C&C) оператором, отправившим команду. Поскольку IP-адреса и порты C&C сервера жестко запрограммированы в исполняемый файл, операторы могут затем сгенерировать иные образцы Kobalos, которые используют этот новый C&C сервер. Кроме того, в большинстве систем, скомпрометированных Kobalos, протокол защищенной связи (SSH) становится открытым для кражи учетных данных», — рассказал Марк-Этьен Левейле.

В качестве действенной меры по предотвращению кражи учетных данных специалисты Eset рекомендуют настроить двухфакторную аутентификацию для подключения к SSH-серверам.

[vladimir1949]

Хакер наводнил сеть TOR тысячами вредоносных серверов для кражи криптовалюты у пользователей
11.05.2021 [00:24]


Выяснилось, что в течение более чем 16 месяцев злоумышленник добавляет вредоносные серверы в сеть TOR, чтобы перехватывать трафик и выполнять атаки на компьютеры пользователей, посещающих сайты, связанные с криптовалютой. Атаки начались в январе 2020 года.

Вредоносные серверы идентифицируют трафик, направленный на ресурсы, связанные с криптовалютами, и выполняют атаку с удалением SSL, при которой уровень шифрования трафика понижается с HTTPS до HTTP. Предполагается, что злоумышленник понижает уровень безопасности до HTTP, чтобы подменить адреса ресурсов, связанных с криптовалютой, и перехватить транзакции.

Об этих атаках известно уже некоторое время. Впервые они были описаны в августе прошлого года исследователем безопасности и оператором узла TOR, известным под никнеймом Nusenu. Тогда он сказал, что злоумышленнику удалось трижды наводнить сеть TOR своими вредоносными серверами. При этом объём созданной им инфраструктуры достиг 23 процента от всего объёма сети TOR, прежде чем команда TOR её отключила.

В новом исследовании Nusenu говорит, что, несмотря на то, что проводимые им манипуляции разоблачены, злоумышленник продолжает совершать атаки. Предыдущие попытки перехвата пользовательских данных, предпринятые хакером, были обнаружены спустя недели или даже месяцы после того, как они были запущены.

Сейчас злоумышленник сменил тактику и не пытается запускать все серверы одновременно, чтобы не привлекать внимание к своей деятельности. По словам Nusenu, вредоносные серверы хакера сейчас контролируют от 4 до 6 процентов всей сети TOR.

[vladimir1949]

Троянец, ворующий данные из Linux, три года оставался невидимым для любых антивирусов
11.05.2021, Вт, 11:40

Обнаруженный бэкдор RotaJakiro использует многослойное шифрование для всех своих компонентов, и почти три года остается невидимым для антивирусов. Известно, что он умеет выводить данные из зараженных систем, но этим его функциональность явно не ограничивается.

Секретные материалы

Эксперты компании QihooNetlab 360 обнаружили вредонос-бэкдор под Linux, который почти три года оставался невидимым для антивирусных решений.

Спойлер   :

Первые сэмплы вредоноса RotaJakiro попали на VirusTotal еще в 2018 г., однако до сих пор антивирусы его не детектировали. Разработчики бэкдора очень многое сделали для того, чтобы он оставался невидимым как можно дольше.

Весь сетевой трафик вредоноса сжимается с помощью ZLib и шифруется с помощью сразу трех алгоритмов. Шифруются также данные внутри тела вредоноса и все ресурсы, которые он выгружает в зараженную систему. Это явно сделано для того, чтобы пресечь попытки анализа его кода и функциональности.

RotaJakiro способен определять системные привилегии текущего пользователя: root или нет. В зависимости от этого, он использует разные способы запуска и по-разному обеспечивает устойчивое пребывание в системе.

Вопрос расширений

Операторы RotaJakiro могут использовать его для вывода системных данных и других значимых сведений и доустанавливать и запускать дополнительные плагины с разной функциональностью в 64-битных системах. О каких именно функциях идет речь, остается пока загадкой.

«RotaJakiro поддерживает 12 различных функций, три из которых связаны с запуском определенных плагинов. Однако мы не видели самих плагинов и потому не знаем их истинного назначения», — отметили авторы исследования. Открытым также остается вопрос, как именно RotaJakiro распространяется, и есть ли у него какая-то особенная цель и приоритетная мишень».

«Вероятно, это намек на то, что RotaJakiro может быть лишь компонентом более широкого набора хакерских инструментов, который не ограничивается самим бэкдором и его плагинами, — полагает Алексей Водясов, технический директор компании SECConsultServices. — Впрочем, без информации о том, на что способны необнаруженные плагины, это лишь предположения. Хотя и не лишенные смысла: разработчики явно очень много ресурсов вложили в то, чтобы сделать RotaJakiro максимально неуловимым. Наверняка это делалось с расчетом на широкий спектр вероятных атак».

С 2018 г. на VirusTotal были загружены в общей сложности четыре сэмпла вредоноса — антивирусы игнорировали их всех. Теперь ситуация, вероятно, изменится.

Интересно, что контрольные серверы, выявленные специалистами Qihoo 360, были запущены в 2015 г. По мнению экспертов, RotaJakiro использует ту же инфраструктуру, что и ботнет интернета вещей Torii, впервые замеченный в сентябре 2018 г.

Torii и RotaJakiro выполняют одни и те же команды после изначальной компрометации целевой системы, имеют похожую структуру и используют одни и те же константы. Вероятнее всего, речь идет о разработках одной и той же группировки.

[vladimir1949]

Опасный вирус MosaicLoader устанавливается вместе с пиратскими играми


В Сети начал массово распространяться вирус под названием MosaicLoader, который обычно скрывается в пиратских играх и приложениях.



MosaicLoader уникален тем, что имеет крайне сложную внутреннюю структуру, позволяющую обмануть не только антивирусные программы, но и специалистов по кибербезопасности.

После попадания и установки на компьютер жертвы, MosaicLoader способен нанести совершенно различный ущерб, от кражи cookie-файлов и заканчивая взломом страниц пользователя в социальных сетях.

На сегодняшний день нет 100% защиты от MosaicLoader. В качестве профилактики эксперты предлагают отказаться от скачивания пиратского ПО — это должно сильно снизить вероятность подхватить вирус.

[vladimir1949]

Зловред XLoader добрался до компьютеров Mac

Плохая новость для владельцев компьютеров Apple Mac, привыкших считать, что вирусов и прочих вредоносных программ для их устройств практически не существует. Они существуют, и число их постоянно растет вместе с ростом популярности «яблочных» устройств. Очередным пополнением стал зловред XLoader, относящийся к семейству так называемых инфостилеров: программа похищает учетные данные, сохраняемые в браузерах и клиентах электронной почты, делает снимки экрана, отслеживает нажатия клавиш – и передает всю эту информацию на подконтрольные злоумышленникам командные серверы. Кроме того, организаторы атаки могут удаленно осуществлять запуск файлов на инфицированном устройстве.

Спойлер   :

Вредоносное ПО XLoader было впервые обнаружено в феврале нынешнего года. Оно является прямым «наследником» зловреда Formbook – инфостилера для компьютеров под управлением ОС Windows, который, по некоторым данным, стал четвертым по популярности инструментом, использовавшимся в хакерских атаках в прошлом году. Обе программы имеют почти аналогичный код. Однако, по словам руководителя исследований компании Check Point Software Янива Балмаса, XLoader является куда более «зрелой и изощренной» разработкой. Зловред, функционал которого пополнился теперь возможностью атак на компьютеры Apple Mac, предлагается в аренду на многих подпольных хакерских форумах. Любопытно, что цена месячной аренды XLoader для mscOS даже чуть ниже, чем для Windows – 49 долларов против 59.

[vladimir1949]

Средняя продолжительность DDoS-атак в первой половине 2021 года составила 6,1 минуты.
4 сентября 2021 г., 16:40

Согласно исследованию Imperva Research Labs, средняя продолжительность сетевой DDoS-атаки в первой половине 2021 года составила всего 6,1 минуты . Организациям следует остерегаться подобных атак, поскольку они могут быть отвлечением внимания и частью более широкой многовекторной атаки.

Спойлер   :

Согласно анализу сетевых DDoS-атак с января 2021 года, Imperva Research Labs зафиксировала заметный рост количества атак, проводимых по пятницам. Злоумышленники понимают, что это отличная возможность застать организации врасплох, когда они направляются в выходные, что приведет к максимальному хаосу и разрушениям для цели. Для сравнения, в воскресенье было наибольшее количество ежедневных DDoS-атак в 2020 году, что говорит о том, что злоумышленники модифицируют свои методы.

В отчете Imperva о глобальном ландшафте DDoS-угроз за 2021 год также подробно описывается тенденция к участию неквалифицированных киберпреступников в проведении атак. По цене чашки кофе или 100 долларов США, чтобы по-настоящему вывести из строя сеть, DDoS-as-a-Service можно приобрести в Интернете, что приведет к законным последствиям для бизнеса и простоям. К сожалению, входной барьер для киберпреступников никогда не был ниже, а вероятность нанесения ущерба никогда не была выше.

Средняя продолжительность сетевой DDoS-атаки в первой половине 2021 года составила всего 6,1 минуты. Кратковременные, резкие атаки могут подавить гибридные облачные и локальные решения, нанеся ущерб еще до того, как начнется смягчение последствий резервного копирования в облаке. Часто злоумышленники поражают одну и ту же цель несколько раз, что затрудняет их устранение, если не установлена ​​постоянная защита от DDoS-атак. Проблема в том, что к тому времени, когда атака замечается, она уже закончилась, и неизвестно, когда она начнется снова. Более короткие атаки могут оставаться незамеченными, потому что организации, использующие простую технологию предотвращения DDoS-атак, настраивают пороги обнаружения, которые игнорируют более низкие уровни активности. В то время как ИТ-персонал занят восстановлением работы брандмауэра или системы предотвращения вторжений, злоумышленники заняты установкой вредоносного ПО или доступом к другим частям сети.

Imperva Research Labs обнаружила, что ежемесячный объем и размер сетевых DDoS-атак в 2021 году значительно выросли по сравнению с 2020 годом. В прошлом году объем сетевых DDoS-атак увеличился на 200%, а количество пакетов - истинный показатель интенсивности атаки - увеличился на 300%.

Отчет Imperva о глобальном ландшафте DDoS-угроз за 2021 год основан на анонимных данных, собранных с помощью продуктов Imperva Cloud WAF и Imperva DDoS Protection с 2020 по первую половину 2021 года.

[vladimir1949]

Хакеры продают пропускную способность сети без ведома жертвы
добавлено: 2021-09-02 10:35

Киберпреступники находят новые способы монетизации атак. Согласно Cisco Talos , они все чаще делают это на основе платформ, которые обеспечивают совместное использование сетевого трафика, называемого «прокси-ПО» , таких как Honeygain, IPRoyal Pawns, Nanowire, Peer2Profit или PacketStream . Попав в чужие руки, они позволяют пользователям без их ведома использовать пропускную способность сети, работая в фоновом режиме на зараженном устройстве. В некоторых случаях хакеры отключают предупреждения системы безопасности, которые могут предупредить атакуемого пользователя.


Хакеры могут монетизировать пропускную способность сети без пользователей

Спойлер   :

Proxyware  платформа позволяет разделить некоторую пропускную способность сети с другими пользователями.
Конечно, платно. Это решение используется, среди прочего, маркетинговые компании, тестирующие онлайн-кампании в разных географических регионах. В свою очередь, частные пользователи могут обойти ограничения, связанные, например, с отсутствием доступа к потоковым сервисам или игровым платформам в конкретной стране. Они используют сеть, в которой работает служба, не вставая с кресла. Наряду с растущей популярностью этого решения, им заинтересовались и киберпреступники, которые начали использовать его в вредоносных кампаниях. Наиболее очевидный тип атаки - захват полосы пропускания без ведома пользователя, например, для майнинга криптовалюты.

Масштабы явления незаконного использования «прокси» становятся все больше.
Это связано с растущей популярностью самого средства. Это подтверждают недавно опубликованные данные по Honeygain, одной из самых популярных прокси-платформ, из "Опроса 2021 года о пользовательском опыте и осведомленности" . В этом году опрос приняли участие 250 000 человек. пользователи инструмента. Это более чем в 16 раз больше, чем в 2020 году. 

Новый тип атак - новая проблема для ИТ-команд.

Использование «прокси-ПО» - новая тенденция, но, как подчеркивают специалисты Cisco Talos, с большим потенциалом развития. Незаконно полученный доступ к сети позволяет хакерам скрыть следы, ведущие к источнику атак. Любая деятельность с использованием украденной полосы пропускания скрывается под IP-адресом жертвы. В результате создается впечатление, что они происходят из надежных сетей, что усыпляет бдительность специалистов по кибербезопасности и затрудняет адаптацию обычных систем безопасности, которые анализируются, например, список заблокированных IP-адресов.

Новые формы атак ставят новые задачи перед специалистами по безопасности, особенно в тех организациях, где доступ к Интернету ограничен или сеть помечена как «домашняя». Эксперты Cisco подчеркивают, что существуют также платформы, позволяющие обмениваться сетевым трафиком прямо из центра обработки данных. Поэтому организациям стоит подумать о запрете использования прокси-ПО на работе. Конечные точки не должны подключаться к сетям через них.

Специалисты Cisco Talos рекомендуют внедрить комплексные механизмы для обеспечения безопасного входа в систему и распространения предупреждений для обеспечения эффективной локализации и ответа на попытки подключения к «прокси-ПО» , поскольку это может указывать на то, что атака произошла.

[student]

Правительство США дает 10 миллионов долларов. для информации о хакерах DarkSide
добавлен: 2021-11-05 10:54

Darkside разыскивается 10 миллионов долларов банда вымогателей Darkside 360pxГосударственный департамент США предлагает огромный приз в размере 10 миллионов долларов. любой, кто может предоставить правоохранительным органам информацию о печально известной банде вымогателей DarkSide, которая может помочь найти и арестовать ее лидеров. Согласно пресс-релизу, выпущенному 4 ноября 2021 года, Государственный департамент США также предлагает дополнительные 5 миллионов долларов. любому, кто может предоставить информацию, ведущую к аресту или осуждению любого человека в любой стране, «участвующего в DarkSide».



Государственный департамент США предлагает награды в рамках своей программы вознаграждений за транснациональную организованную преступность (TOCRP).

Спойлер   :

Правительство США предложило высокую награду за принятие мер против организаторов хакерской атаки на крупнейший газопровод в США в мае. Госдепартамент США объявил в четверг, 4 ноября, в Вашингтоне, что 10 миллионов долларов будут выплачены за информацию, которая поможет идентифицировать или выследить лидеров международной хакерской группировки DarkSide . Кроме того, было предложено еще 5 миллионов долларов. для получения информации, которая привела к аресту или осуждению лиц, причастных к атакам программ-вымогателей этой группы. Это атаки, при которых хакеры шифруют компьютеры целевых компаний и взимают большие суммы за освобождение систем.

По данным правительства США, группа DarkSide несет ответственность за масштабную хакерскую атаку на один из крупнейших трубопроводов в США. В начале мая компания Colonial Pipeline объявила, что стала жертвой кибератаки. В результате трубопровод, по которому проходит примерно 45% всего топлива, потребляемого на Восточном побережье США, был временно полностью остановлен. В некоторых частях США ощущалась нехватка бензина.

Хакеры взломали компьютерную сеть оператора трубопровода и потребовали многомиллионный выкуп, который компания заплатила. Оператор трубопровода заплатил банде 5 миллионов долларов. записку с требованием выкупа только через 1 день после того, как он узнал о нападении.

14 мая 2021 года банда DarkSide объявила, что закрывается после захвата ее серверов. Часть выкупа за криптовалюту также исчезла из аккаунта.

8 июня 2021 года было объявлено, что ФБР удалось вернуть миллионы долларов выкупа у банды DarkSide. В конечном итоге ФБР показало, что было возвращено 2,3 миллиона долларов. в криптовалютах (63,7 биткойна).

[student]

Портал госуслуг подвергся рекордной по мощности атаке
11.11.2021 [14:33]

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации (Минцифры) раскрыло причины сбоя, происшедшего в работе портала государственных услуг.


С начала этой недели пользователи «Госуслуг» жалуются на сложности с доступом к сайту. Так, при попытке посещения ресурса выдавались сообщения о внутренней ошибке: «По техническим причинам портал временно недоступен. Приносим извинения за неудобства».

Кроме того, многие пользователи обнаружили, что срок действия QR-кодов о вакцинации от коронавируса неожиданно сократился вдвое — с года до шести месяцев.

Сообщения о проблемах с доступом к сайту появлялись и сегодня, 11 ноября. Как теперь рассказали в Минцифры, портал подвергся рекордной по мощности атаке, с которой, впрочем, удалось совладать.

«Работоспособность портала "Госуслуг" восстановлена, проблемы со входом на портал у некоторых пользователей фиксировались в течение 20 минут. Сейчас технические специалисты разбираются с причинами. Вместе с тем отмечаем, что 10 ноября 2021 года отражена рекордная по мощности атака на госуслуги, свыше 680 гигабит в секунду», — говорится в сообщении ведомства.

Пока неясно, как долго продолжалась атака и какие последствия она может иметь. Что касается QR-кодов, то сокращение срока их действия объясняется ошибкой, связанной с техническими работами на сайте.

[student]

Успешный шифровальщик под Windows удивил экспертов бездарной попыткой переключиться на Linux

Эксперты выявили варианты шифровальщика Hive, нацеленного на Linux и FreeBSD. Судя по всему, эти версии программы недоработаны: они содержат массу ошибок или не срабатывают вовсе.

Без root-привилегий

Разработчики известного шифровальщика Hive создали версии вредоноса, нацеленные на Linux и FreeBSD. Ранее эта программа атаковала только системы под Windows. Hive впервые был замечен в июне 2021 г. С тех пор атакам этого шифровальщика подверглись не менее 30 организаций (и это только те, кто отказался платить выкуп).

Сэмплы вредоноса, перехваченные экспертами фирмы ESET, оказались полны ошибок. В некоторых случаях шифрование не срабатывало вообще — в частности, когда программа запускалась с явно указанным путем.

Более того, программа пытается записывать сообщение с требованием выкупа в корневой каталог операционной системы, но это требует полномочий суперпользователя (root). Если вредонос не обладает такими привилегиями, шифрование не запускается.

Эксперты также выяснили, что новые варианты Hive поддерживают только один параметр командной строки (-no-wipe), в то время как вариант под Windows поддерживает до пяти параметров запуска.

Популярная цель

Спойлер   :

Все это указывает на то, что варианты Hive под Linux и FreeBSD находятся в стадии активной разработки, и что пройдет еще какое-то время, прежде чем они достигнут зрелого уровня.

«Разработка вариантов Windows-шифровальщиков под Linux порой требует больших усилий, но, с точки зрения злоумышленников, игра стоит свеч: под Linux работают системы виртуализации и многие серверы; шифрование всех данных на них заведомо нанесет больший ущерб и вероятность выплаты выкупа также оказывается куда большей, — считает Дмитрий Кирюхин, эксперт по информационной безопасности компании SEQ. — Сейчас, когда версии шифровальщика под Linux/FreeBSD оказались подсвеченными еще до готовности, его создателям придется потратить дополнительные усилия и время, чтобы сделать его менее заметным».

Многие другие шифровальщики также пытаются атаковать системы под Linux. Их главным образом интересуют корпоративные системы виртуализации, шифрование которых наносит куда больший ущерб, чем атака на отдельные рабочие станции или даже серверы.

В частности, в июне 2021 г. группировка REvil запустила новую версию своего шифровальщика, нацеленную на виртуальные машины VMware ESXi. Этому примеру в той или иной степени последовали также шифровальщики Babuk, RansomExx/Defray, Mespinoza, GoGoogle, DarkSide и Hellokitty; у них у всех есть версии, нацеленные на Linux.

При этом как минимум некоторые из них содержат фатальные дефекты, приводящие к необратимому повреждению данных при шифровании. Это, в частности, касается RansomExx. Впрочем, подобные «недочеты» не мешают злоумышленникам продолжать требовать выкуп с жертв.

[student]

ПО для кражи данных кредиток ловко прячется в кодах знаменитого российского веб-сервера Nginx

Обнаруженная вредоносная программа NginRAT почти невидима для защитных средств, поскольку умеет скрываться в легитимных процессах веб-сервера Nginx. Что характерно, устанавливает этот вредонос другой RAT-троянец.

Парная работа

Злоумышленники устанавливают на серверы электронной коммерции новый скрытный вредонос, обеспечивающий им удаленный доступ к системе — NginRAT. Эта программа встраивается в легитимные процессы всемирно известного веб-сервера Nginx, разработанного российским программистом Игорем Сысоевым, так, что средства обнаружения ее не видят.

NginRAT может использоваться для кражи данных платежных карт из онлайн-магазинов. Данную программу обнаружили на нескольких серверах электронной коммерции в США и Европе. Они уже были заражены другим RAT-троянцем — CronRAT, который, по данным экспертов компании Sansec, устанавливает NginRAT на атакованные системы. Для этого он скачивает вредоносную системную библиотеку Linux в /dev/shm/php-shared и запускает ее с помощью отладочной программы LD_PRELOAD.

Такой симбиоз выглядит довольно странно, учитывая, что NginRAT и CronRAT выполняют примерно одну и ту же функцию обеспечения удаленного доступа к серверу. Как отметил директор по исследованиям угроз Sansec Виллем де Грот (Willemde Groot), оба троянца, скорее всего, дублируют друг друга, чтобы обеспечивать постоянный удаленный доступ к зараженным серверам.

Орфографическая ошибка как улика

Спойлер   :

Для того, чтобы изучить NginRAT, экспертам Sansec пришлось создать модифицированную версию CronRAT и с ее помощью перехватить обмен информацией между троянцем и контрольным сервером, который, как оказалось, располагается на территории Китая.

Исследователи заставили контрольный сервер прислать и запустить поддельный код общей библиотеки, «подсветив» таким образом вредонос.

«NginRAT фактически захватывает приложение Nginx на хосте, чтобы оставаться незамеченным. Для этого он модифицирует ключевую функциональность ОС Linux, запущенной на хосте. Когда легитимный веб-сервер Nginx использует эту функциональность (например, dlopen), NginRAT перехватывает ее, чтобы внедрить себя в процесс», — поясняется в публикации Sansec.

Такое внедрение процесса обеспечивает его невидимость: отличить легитимный процесс Nginx от вредоносного практически невозможно. К тому же код NginRAT существует только в памяти сервера.

Как установили исследователи, вредонос запускается с помощью двух переменных: LD_PRELOAD и LD_L1BRARY_PATH. Во второй, в слове Library вместо буквы «i» используется «1», поэтому активный вредоносный процесс можно выявить, запустив команду

$ sudo grep -al LD_L1BRARY_PATH /proc/*/environ | grep -v self/

/proc/17199/environ

/proc/25074/environ

Эксперты Sansec указывают, что если на сервере найден NginRAT, то это означает присутствие и CronRAT. Администраторам рекомендовано в таком случае проверить задачи планировщика Cron.

«Ничего нового в том, что один вредонос устанавливает другой, в сущности, нет, однако обычно такие программы различаются по своему назначению, — говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. — В данном же случае речь идет о взаимной страховке двух, в разной степени скрытных RAT-троянцев, так что даже если один будет обнаружен и нейтрализован, у злоумышленников все равно останется удаленный доступ к системе. Такое встречается довольно редко».

[student]

Обнаружена массовая кибератака через уязвимость 2013 года в системе проверки цифровых подписей Windows
06.01.2022 [12:47]

В начале ноября специализирующаяся на кибербезопасности компания Check Point Research обнаружила массовую атаку трояна Zloader, который похищает данные для доступа к интернет-банкам и персональные данные пользователей. По состоянию на 2 января зловредом были заражены машины, связанные с 2170 IP-адресами. Атака примечательна тем, что в ней используется старая уязвимость.

Троян Zloader известен довольно давно. Например, в 2020 году он распространялся через ресурсы для взрослых и даже рекламу в Google. Новая массовая атака, говорят эксперты, уникальна тем, что в её основе лежит система верификации ПО по цифровым подписям: полезная нагрузка вредоноса внедряется в подписанную системную библиотеку, которая не проверяется средствами защиты ОС.

Спойлер   :

Заражение производится через систему удалённого доступа и управления (RMM) Atera — демонстрационная версия этого стандартного корпоративного инструмента в модифицированном варианте устанавливается самой жертвой как файл java.msi, в котором в качестве администраторского указан подконтрольный злоумышленникам адрес электронной почты. Далее оператор загружает на компьютер жертвы два bat-файла, используя функцию запуска скриптов. Первый скрипт модифицирует настройки Windows Defender, добавляя нужные исключения, а второй обеспечивает доставку данных со сторонних ресурсов.

Далее запускается системный файл mshta.exe (обычно используется для запуска файлов HTML) с библиотекой appContast.dll в качестве параметра. Эта библиотека имеет подпись, но при этом содержит вредоносный код, благодаря которому загружается и запускается троян Zloader. Ошибку с проверкой сертификатов Microsoft исправила ещё в 2013 году, однако впоследствии в 2014 году компания заявила, что соответствующее обновление может оказать влияние на существующее ПО, и оно стало доступно для установки только по желанию пользователя. По данным экспертов Check Point Research, за новой серией атак стоит хакерская группировка Malsmoke: её участникам свойственно выдавать вредоносное ПО за Java-плагины, а связанный с атакой URL-адрес уже использовался группировкой в 2020 году.

[student]

В Украине ликвидировали крупный хакерский сервис


Служба безопасности Украины совместно с партнерами из США и Великобритании ликвидировала крупный хакерский сервис, предоставляющий платные услуги для кибератак и взлома систем различных учреждений. За время своего существования организаторы сервиса заработали порядка миллиона долларов.

Создателями сервиса оказались граждане Украины, скрывающиеся под различными никнеймами в сети Darknet. В ходе операции были изъяты персональные компьютеры и мобильные телефоны, с помощью которых осуществлялось администрирование сервиса.

Через свою платформу злоумышленники позволяли напрямую подгружать вирусы, шпионское ПО и различные вредоносные программы для взлома систем государственных и коммерческих учреждений, пишут РИА Новости.

В ходе расследования было возбуждено уголовное дело по статьям "несанкционированное вмешательство в работу электронно-вычислительных машин (компьютеров)", "создание с целью использования, распространения или сбыта вредоносных программных" и "легализация доходов, полученных преступным путем".

Согласно данным исследования, проведенного разработчиком антивирусного ПО ESET, каждый пятый россиянин хотел бы стать хакером. При этом отмечается, что больше всего такая работа интересует молодежь до 24 лет, а также скорее мужчин (23%), чем женщин (16%).