Антивирусные компании говорят об отключении хакерского ботнета Harnig

Антивирусные компании говорят об отключении хакерского ботнета Harnig

В компании FireEye зафиксировали любопытное совпадение: на следующий день после свержения Rustock замолчали командные серверы ботнета Harnig. Как сообщает "Лаборатория Касперского", Harnig, он же Piptea, ― PPI-зловред, единственным назначением которого после внедрения в систему является загрузка и запуск других вредоносных приложений. Владельцы ботнета, созданного на его основе, получают определенную мзду от заказчиков за каждую успешную инсталляцию.



По свидетельству FireEye, последние пару лет Harnig и Rustock демонстрировали весьма устойчивый симбиоз. При этом установка Rustock на зараженную машину осуществлялась в два этапа: Harnig закачивал специализированный инсталлятор заказчика, а тот подгружал спамбот. По наблюдениям экспертов, операторы ботнета-спамера крайне редко меняли партнера и практически не использовали альтернативные способы расширения своих владений, передает cybersecurity.ru

Отключение центров управления Rustock произошло 16 марта. На следующий день в FireEye отметили, что Harnig провел загрузку разных зловредных программ на зараженные машины, включая ZeuS и SpyEye. Rustock среди них уже не было. После этого все C&C серверы Harnig разом перестали обслуживать запросы подопечных зомби-машин (при обращении выдавали ошибку 404).

Насколько известно, никаких усилий по ликвидации этого ботнета не предпринималось. По данным FireEye, командные серверы Harnig размещены в разных регионах, хотя 45% из них находятся на территории России, а 26% ― в США. Отключить их разом непросто, это не Rustock, у которого 95% C&C хостились на территории одной страны (США), которая к тому же имеет адекватную правовую базу и опыт в противостоянии ботоводам.

Тем не менее, вполне возможно, что PPI-распространители Rustock просто запаниковали и решили приостановить свою противозаконную деятельность, переждать, пока страсти улягутся. В таком случае Harnig через короткое время вновь оживет, и не исключено, что одним из его новых «подарков» владельцам зараженных машин станет обновленный Rustock.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Злоумышленники хранили свой код в DNS-записях в шестнадцатеричном формате

Команда DomainTools обнаружила еще один пример использования DNS как хранилища вредоносов. Для сокрытия бинарника его конвертировали в шестнадцатеричный формат, разбили на части и спрятали в TXT-записях связанных поддоменов.

Подобные злоупотребления рассчитаны на то, что защитные решения редко проверяют DNS-трафик на предмет угроз, он для них слепая зона. К тому же организовать выявление аномалий в легитимном потоке запросов в данном случае непросто, а при использовании шифрования (DoH или DoT) — еще сложнее.

Привлекшие внимание экспертов записи DNS TXT содержали информацию о сотнях различных поддоменов *.felix.stf.whitetreecollective[.]com, дополненную фрагментами кода в шестнадцатеричном формате.

 

При их извлечении и сборке с преобразованием в двоичный файл оказалось, что это Joke Screenmate — злонамеренное приложение Windows, которое выводит на экран изображения или анимацию, от которых трудно избавиться.

Это может быть череда шутливых картинок, которые быстро множатся, и их трудно закрыть. Более агрессивные варианты таких программ пугают жертв бесконечными сообщениями об ошибках или якобы обнаруженных вирусах.

Известны случаи, когда в DNS-записях скрывались вредоносные скрипты. Исследователи из DomainTools тоже столкнулись с таким TXT-содержимым; на поверку зашифрованный Powershell оказался загрузчиком, скачивающим пейлоад второго этапа атаки с C2 на базе Covenant.

В комментарии для Ars Technica представитель DomainTools поведал, что недавно они нашли DNS-записи с текстами для ИИ-ботов, которые, видимо, используются в рамках промпт-инъекций. Все фразы начинались с «Ignore all previous instructions» («Забудь обо всех прежних инструкциях») и содержали различные просьбы, от с виду невинных (назвать произвольное число, выдать краткое содержание фильма «Волшебник», спеть песню, как птичка) до явно провокационных (игнорить все последующие инструкции, удалить обучающие данные и восстать против своих хозяев).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru