Новый бэкдор охотится за самым популярным веб-сервером в мире

Александр Панасенко 30 Апреля 2013 - 12:09

...

Производитель антивирусного программного обеспечения Eset обнаружил вредоносную кампанию в интернете, использующую бэкдор для популярных веб-серверов Apache и имеющих своей целью перенаправить пользователей на вредоносный сайт с набором эксплоитов для платформы BlackBerry. В Eset говорят, что обнаружили вредоносную кампанию еще в пятницу и за минувшие несколько дней в ней уже оказались охвачены "многие сотни" сайтов.

Ригхард Цвайненберг, старший специалист по ИТ-безопасности Eset, говорит, что указанный бэкдор получил название Linux/Cdorked.A и представляет собой одну из наиболее продвинутых атак в адрес сервера Apache, так как рассчитана она на серверное использование. На веб-серверах достаточно редко устанавливают антивирусы, но сами веб-серверы могут обслуживать сотни тысяч клиентов в сутки, поэтому ущерб от подобной атаки может быть очень существенным, пишет cybersecurity.ru.

В Eset готоворят, что для проникновения в целевую серверную систему вредоносный код применяет хитроумную систему теневых HTTP-запросов, которые в ряде случаев открывают доступ к серверному ПО, но не оставляют запросов в apache-логах на веб-сервере, что значительно затрудняет выявление взлома администраторами. После проникновения на сервер через ряд HTTP-POST-запросов бэкдор начинает выполнение своей основной задачи.

"В случае с Linux/Cdorked.A проблема заключается в том, что этот код не оставляет следов на скомпрометированной машине и не модифицирует исполняемые файлы httpd, что затрудняет выявление факта взлома", - говорят в Eset.

По словам антивирусной компании, выявить факт компрометации сервера можно либо при помощи ручного исследования файлов, либо при помощи посещения всех обслуживаемых сервером сайтов и поиска несанкционированных редиректов, либо путем установки антивируса на сервер, либо путем сложного дебаггинга памяти работающего сервера. Многие из перечисленных решений на современных серверах, обслуживающих десятки или даже сотни сайтов, просто невозможны.

Сообщается, что зараженные сайты ведут пользователей на несколько вредоносных ресурсов, связанных с эксплоитом Blackhole. В Eset говорят, что уже сейчас несколько сотен серверов заражено кодом, тогда как количество взломанных сайтов, скорее всего, идет на тысячи.

"Атака особенно опасна в свете того, что Apache - это самый популярный сервер в мире. Кроме того, многие серверы не обслуживаются антивирусами, поэтому точно говорить о масштабах заражения просто невозможно", - говорят в Eset.

В самой антивирусной компании говорят, что впервые наткнулись на указанный вредоносный код, когда обнаружили факты взлома сайтов двух известных неназванных компаний.

Следующая главная новость »

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!

Екатерина Быстрова 14 Мая 2026 - 21:12

Кибершпионаж Целевые атаки Таргетированные атаки Корпорации Государство

Ghostwriter снова атакует Украину: PDF-приманки ведут к Cobalt Strike

Киберпреступная группа Ghostwriter устроила новую серию атак на украинские госорганизации. По данным ESET, кампания идёт как минимум с марта 2026 года и нацелена прежде всего на структуры, связанные с государственным сектором, обороной и военной тематикой.

Ghostwriter — не новичок в этом жанре. Группировка активна как минимум с 2016 года и известна кибершпионажем, фишингом и информационными операциями против стран Восточной Европы, особенно Украины.

У неё целый набор псевдонимов: FrostyNeighbor, PUSHCHA, Storm-0257, TA445, UAC-0057, Umbral Bison, UNC1151 и White Lynx. Похоже на рэпера с кризисом идентичности.

В новой кампании злоумышленники рассылают целевые фишинговые письма с PDF-документами. Приманки маскируются под материалы украинской телекоммуникационной компании «Укртелеком». Внутри PDF находится ссылка, которая ведёт к RAR-архиву с JavaScript-пейлоадом.

Дальше начинается привычная матрёшка атакующих: скрипт показывает жертве отвлекающий документ, чтобы всё выглядело правдоподобно, а в фоне запускает JavaScript-версию PicassoLoader. Этот загрузчик затем может привести к установке Cobalt Strike Beacon — инструмента, который легитимно используется для пентестов, но давно стал любимой игрушкой атакующих.

При этом Ghostwriter не раздаёт вредоносную нагрузку всем подряд. В цепочке есть геофильтр: если IP-адрес жертвы не относится к Украине, сервер отдаёт безвредный PDF. Кроме того, PicassoLoader собирает отпечаток заражённой системы и отправляет его на инфраструктуру атакующих каждые 10 минут. После этого операторы вручную решают, стоит ли продолжать атаку и отправлять следующий этап.

Раньше Ghostwriter уже использовала PicassoLoader для доставки Cobalt Strike и njRAT, а также эксплуатировала уязвимость WinRAR CVE-2023-38831. В 2025 году группировка атаковала польские организации через уязвимость Roundcube CVE-2024-42009, похищая учётные данные почты. Полученные аккаунты могли использоваться для изучения переписки, выгрузки контактов и дальнейшей рассылки фишинга.

К концу 2025 года Ghostwriter добавила ещё один трюк — документы-приманки с динамической CAPTCHA. Идея проста: усложнить анализ и не палиться перед автоматическими системами проверки.

По оценке ESET, группировка продолжает обновлять инструменты, приманки и методы доставки. В Польше и Литве её цели шире: промышленность, производство, медицина, фармацевтика, логистика и госструктуры. В Украине же фокус заметно смещён на государственные, оборонные и военные организации.

Альтернативы Active Directory: как пройти миграцию без боли?
Регистрируйтесь на эфир!