Хакер из Anonymous взломал сайт крупнейшего Интернет-регистратора

Сайт крупнейшего в мире интернет-регистратора GoDaddy 10 сентября взломал один из участников хакерской группы Anonymous. Об этом сообщается втвиттере Anonymous.О кибератаке стало известно после того, как в твиттере Anonymous появилось сообщение участника группыAnonymous Own3r. Он утверждает, что вся ответственность за взлом сайта лежит на нем. По его словам, кибератака была выполнена им лично, а не всей группой Anonymous.

Как объяснил Anonymous Own3r в своем твиттере, он взломал сайт потому, что хотел проверить, как работает система защиты сайта от кибератак, а также "по причинам, о которых сейчас нельзя говорить".

В результате DDoS-атаки оказались отключены сайты, которые обслуживаются GoDaddy. Как сообщила представитель компании изданию CNET News, количество отключенных сайтов пока неясно. Непонятно также, затронула ли кибератака только сайты, размещенные на GoDaddy, или также сайты, которые используют DNS-серверы интернет-регистратора, сообщает lenta.ru.

В твиттере @GoDaddy после взлома появилось сообщение о проблемах на сайте. Позже компания сообщила, что некоторые сервисы уже восстановлены.

GoDaddy, созданный в 1997 году, является крупнейшим интернет-регистратором в мире. Под его контролем находится более 50 миллионов доменов. Клиентами компании являются более 9,8 миллионов человек.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

ZuoRAT угоняет SOHO-роутеры в рамках шпионской кампании

Неизвестные злоумышленники внедряют троян ZuoRAT в офисные и домашние роутеры, чтобы проникнуть во внутренние сети организаций и скрытно шпионить, ведя перехват трафика и развернув бэкдоры. По данным Black Lotus Labs (исследовательское подразделение Lumen Technologies), киберкампания была запущена больше двух лет назад — когда из-за COVID-19 все перешли на удаленку.

Целевые атаки, по словам Black Lotus, проводятся в основном в Северной Америке и Западной Европе, на мушку взяты как минимум 80 компаний, а может, и гораздо больше. Вредонос обнаружен на роутерах SOHO-класса разного производства, в том числе ASUS, Cisco, DrayTek и NETGEAR; такие сетевые устройства обычно обходят вниманием и редко латают.

Доставка ZuoRAT (в виде MIPS-файла) осуществляется через эксплойт. Наличие подобного лазутчика позволяет провести разведку в локальной сети и пустить в ход простейший загрузчик, скомпилированный в C++. В результате на Windows-машинах жертвы может появиться бэкдор, способный выполнять произвольные команды, — Cobalt Strike, CBeacon или GoBeacon (два последних, со слов экспертов, — кастомные инструменты удаленного доступа).

 

Резидентный ZuoRAT собирает информацию о зараженном хосте и составе смежной LAN, о трафике, проходящем через роутер, а также может перехватывать DNS- и HTTP-запросы и выполнять перенаправление в сторонний домен на основе заданных правил. Анализ показал, что вредонос создан на основе кода Mirai, слитого в Сеть в 2016 году.

Кроме основных встроенных функций, исследователи насчитали около 2500 опциональных (подбор паролей, распознавание USB-устройств, инъекция кода, отслеживание TCP-соединений на портах 21 и 8443 и т. п.). За их выполнение отвечают дополнительные модули, загружаемые с C2.

Командная инфраструктура ZuoRAT разделена на уровни и тщательно скрывается. Эксплойт загружается с отдельного VPS-сервера, некоторые зараженные роутеры работают как прокси-серверы C2 и часто меняются.

 

Для маскировки злоумышленники также используют промежуточные серверы с безобидным контентом, и зараженные устройства к ним изредка подключаются без всякой видимой цели. Головные серверы, к которым обращаются резидентные ZuoRAT и бэкдоры, разделены; в последнем случае для нужд C2 используются платформы Tencent и Yuque (принадлежит Alibaba).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru