Злодеи использовали 500 тыс. семплов вредоноса для атак на VoIP-серверы

Злодеи использовали 500 тыс. семплов вредоноса для атак на VoIP-серверы

Злодеи использовали 500 тыс. семплов вредоноса для атак на VoIP-серверы

Эксперты вычислили масштабную киберпреступную кампанию, атакующую серверы IP-телефонии Elastix. По словам аналитиков, за три месяца злоумышленники использовали более 500 тысяч образцов вредоносных программ.

Атакующие, предположительно, задействовали уязвимость под идентификатором CVE-2021-45461, с помощью которой можно удаленно выполнить код. Эта брешь получила статус критической и 9,8 балла из 10 по шкале CVSS.

Преступники эксплуатируют CVE-2021-45461 с декабря 2021 года. По словам команды Unit 42 (Palo Alto Networks), цель киберкампании — установить PHP-шелл, позволяющий запускать команды на скомпрометированном сервере.

В отчете исследователей отмечается, что злоумышленники развернули «более 500 тысяч уникальных семплов вредоносных программ в период с декабря 2021 года по март 2022-го». В настоящее время атаки все ещё продолжаются, а специалисты находят в них много общего с кибероперацией 2020 года, о которой рассказывали эксперты Check Point.

Специалисты выделили две кибергруппы, использующие разные скрипты для эксплуатации и установки шелл-скрипта. В результате такой атаки жертва получает на устройство PHP-бэкдор, создающий аккаунт с правами root и обеспечивающий устойчивость за счет запланированных заданий.

«Дроппер также пытается “смешаться” со средой, устанавливая бэкдору ту же временную метку, которая есть у известного системе файла», — отмечают исследователи.

IP-адреса обеих киберпреступных группировок располагаются в Нидерландах, а вот DNS-записи содержат ссылки на российские порносайты. Сейчас часть инфраструктуры, отвечающая за доставку пейлоада, остается активной в Сети.

Создаваемая вредоносом запланированная задача запускается каждую минуту, чтобы фетчить PHP-шелл, закодированный base64. При этом в веб-запросах могут содержаться следующие параметры:

  • md5 — MD5-хеш аутентификации для удаленного входа и взаимодействия с шеллом.
  • admin — выбирает между сессиями администратора Elastic и Freepbx.
  • cmd — удаленно запускает произвольные команды.
  • call — создает вызов из интерфейса командой строки Asterisk.

Microsoft чинит кошмар переустановки Windows — пропавшие драйверы

Переустановка Windows наконец может стать чуть меньше похожей на танцы с бубном. Microsoft представила функцию Cloud rebuild, которая должна переустанавливать не только саму Windows, но и драйверы устройства через Windows Update.

Идея такая: пользователь сбрасывает компьютер, а система подтягивает целевой образ Windows и нужные драйверы из облака.

Сейчас свежая установка Windows часто превращается в отдельный вид страдания. Нужно понять, каких драйверов не хватает, где их скачать, что поставить первым, а что лучше вообще не трогать. Особенно весело становится, если в игру вступают видеодрайверы NVIDIA, которые умеют подарить пользователю вечер неожиданных приключений.

Cloud rebuild пока доступна участникам программы Windows Insider, начиная с Experimental Preview Build 26300.8772. В Microsoft планируют постепенно вывести функцию на более широкую аудиторию в ближайшие месяцы, если планы не изменятся.

 

Запустить новый режим можно из среды восстановления Windows. Для этого нужно открыть WinRE, выбрать Troubleshoot → Recovery and uninstall → Cloud rebuild, подключиться к интернету по Ethernet или Wi-Fi, проверить версию, редакцию и язык Windows, а затем подтвердить предупреждение о потере данных.

Полностью все проблемы функция, конечно, не решает. Для Cloud rebuild всё равно нужен интернет, но если подключение есть, пользователю больше не придётся вручную охотиться за каждым драйвером и надеяться, что после установки система не устроит сюрприз.

Участники Windows Insider уже могут попробовать Cloud rebuild и отправить отзывы через Feedback Hub. Если всё сработает как задумано, переустановка Windows станет наконец не наказанием, а просто технической процедурой.

RSS: Новости на портале Anti-Malware.ru