Хактивисты атакуют системы видео-конференц-связи

Хактивисты атакуют системы видео-конференц-связи

В августе зафиксирован всплеск DDoS-атак на российские системы видео-конференц-связи. Пиковая мощность составляла 180 тысяч запросов в секунду. Атаки продолжаются до сих пор.

О новой хакерской мишени рассказали в компании StormWall. Ранее специалисты не сталкивались с атаками на подобные сервисы. По данным экспертов, было атаковано 20 ресурсов. Среди целей — TrueConf, Videomost, Webinar.ru и iMind. Эти платформы используют многие российские компании, включая Роскосмос, Росатом и Ростех.

Пиковая мощность атак составляла 180 тысяч запросов в секунду, а максимальная длительность — 30 часов.

“Чтобы организовать как можно больше атак на системы видео-конференц-связи, хактивисты разместили призывы к атакам и списки российских систем видео-конференц-связи в телеграм-каналах ИТ-армии Украины”, — говорится в сообщении StormWall.

По данным экспертов, атаки начались 12 августа и продолжаются до сих пор.

Для большинства систем видео-конференц-связи DDoS-атаки хактивистов не были большой проблемой, поскольку они используют профессиональные решения по защите от DDoS-атак. В результате DDoS-атак наблюдались небольшие сбои в работе платформ, однако серьезных последствий удалось избежать, заявляют эксперты.

"В будущем мы ожидаем новые атаки на различные индустрии, поскольку количество хактивистов постоянно растет, при этом они используют современные инструменты для запуска атак", — делает прогноз Рамиль Хантимиров, CEO и сооснователь StormWall.

Подробнее о проблеме DDoS-атак версии 2022 можно прочитать в материале Защита от DDoS-атак: как надо и как не надо её выстраивать. А недавно Google заблокировала новую рекордную HTTPS DDoS — 46 млн RPS.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

DuckLogs: многофункциональный троян-конструктор, уже пущенный в ход

Специалисты Cyble изучили нового Windows-зловреда, найденного в дикой природе. Как оказалось, DuckLogs умеет воровать информацию, подменять данные в буфере обмена, регистрировать клавиатурный ввод, открывать удаленный доступ к зараженной машине.

Вредонос предоставляется в пользование как услуга (по модели Malware-as-a-Service, MaaS), с подпиской на месяц, три месяца или на неограниченный срок. Новинка активно продвигается на хакерских форумах и, видимо, пользуется спросом: эксперты обнаружили в интернете множество активных экземпляров C2-сервера DuckLogs.

 

Админ-панель, предоставляемая клиентам MaaS-сервиса, позволяет создать бинарник с кастомным набором функций, мониторить ход вредоносной кампании, загрузку краденого и т. п. В панель можно добавить билдер для дроппера, который будет доставлять DuckLogs.

Анализ образца (скомпилированного с помощью .NET 32-битного файла BkfFB.exe) показал, что зловред при исполнении извлекает модуль Bunifu.UI.dll и загружает его в память, используя метод Invoke. Тот, в свою очередь, получает из ресурсов BkfFB.exe растровое изображение Gmtpo с вредоносной начинкой.

После декодирования растра в память загружается еще один .NET-файл — MajorRevision.exe. Этот модуль отвечает за проверку окружения, позволяющую избежать исполнения в песочнице или виртуальной машине.

На финальной стадии в память загружается DuckLogs.exe — по методу process hollowing. С этой целью BkfFB.exe создает новый экземпляр запущенного процесса, чтобы можно было подменить легитимный код вредоносным.

Устанавливаемый в систему вредонос обладает устойчивостью (прописывается на автозапуск), исполняется с админ-привилегями, умеет обходить UAC, отключать Microsoft Defender, Диспетчер задач, CMD, редактор системного реестра.

Его основной модуль, Stealer, обеспечивает кражу данных из разных программ:

  • браузеров (длинный список имен, в том числе экзотических вроде Librewolf и Waterfox),
  • почтовых клиентов (Outlook, ThunderBird),
  • мессенджеров,
  • VPN и FTP,
  • игровых приложений (Steam, Minecraft, Battle.net, Uplay).

Стилера также могут заинтересовать приложения-криптошельки или файлы пользователя по выбору — документы, исходные коды, базы данных, картинки.

Модуль Clipper тоже позволяет похитить криптовалюту, но иным способом: он изменяет адрес кошелька в буфере обмена с тем, чтобы транзакции проводились в пользу оператора DuckLogs. 

Модуль Logger регистрирует нажатия клавиш при вводе, Grabber ворует файлы из браузеров — избранное, историю, куки, учетные данные, загрузки.

Модуль Control позволяет оператору выполнять следующие действия в системе жертвы:

  • передавать и запускать другие файлы;
  • открывать любые страницы в браузере;
  • выключать и перезапускать компьютер, завершать сеанс, блокировать доступ;
  • деинсталлировать зловреда;
  • отправлять сообщения;
  • вызывать состояние отказа в обслуживании (DoS);
  • выводить «синий экран смерти» (BSOD);
  • отключать мышь и клавиатурный ввод.

Краденые данные выводятся на удаленный сервер в домене ducklogs[.]com. Исследователи выявили также несколько других C2-доменов, активно используемых DuckLogs: lovableduck[.]ru, ilovetheducks[.]ru, quackquack[.]ru, smallduck[.]ru, а также определили IP-адрес сервера — швейцарский 179.43.187[.]84.

Новую угрозу распознают больше половины антивирусов из коллекции VirusTotal (49/71 по состоянию на утро 2 декабря).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru