Новый бэкдор охотится за самым популярным веб-сервером в мире
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Новый бэкдор охотится за самым популярным веб-сервером в мире

Александр Панасенко 30 Апреля 2013 - 12:09
...

Производитель антивирусного программного обеспечения Eset обнаружил вредоносную кампанию в интернете, использующую бэкдор для популярных веб-серверов Apache и имеющих своей целью перенаправить пользователей на вредоносный сайт с набором эксплоитов для платформы BlackBerry. В Eset говорят, что обнаружили вредоносную кампанию еще в пятницу и за минувшие несколько дней в ней уже оказались охвачены "многие сотни" сайтов.



Ригхард Цвайненберг, старший специалист по ИТ-безопасности Eset, говорит, что указанный бэкдор получил название Linux/Cdorked.A и представляет собой одну из наиболее продвинутых атак в адрес сервера Apache, так как рассчитана она на серверное использование. На веб-серверах достаточно редко устанавливают антивирусы, но сами веб-серверы могут обслуживать сотни тысяч клиентов в сутки, поэтому ущерб от подобной атаки может быть очень существенным, пишет cybersecurity.ru.

В Eset готоворят, что для проникновения в целевую серверную систему вредоносный код применяет хитроумную систему теневых HTTP-запросов, которые в ряде случаев открывают доступ к серверному ПО, но не оставляют запросов в apache-логах на веб-сервере, что значительно затрудняет выявление взлома администраторами. После проникновения на сервер через ряд HTTP-POST-запросов бэкдор начинает выполнение своей основной задачи.

"В случае с Linux/Cdorked.A проблема заключается в том, что этот код не оставляет следов на скомпрометированной машине и не модифицирует исполняемые файлы httpd, что затрудняет выявление факта взлома", - говорят в Eset.

По словам антивирусной компании, выявить факт компрометации сервера можно либо при помощи ручного исследования файлов, либо при помощи посещения всех обслуживаемых сервером сайтов и поиска несанкционированных редиректов, либо путем установки антивируса на сервер, либо путем сложного дебаггинга памяти работающего сервера. Многие из перечисленных решений на современных серверах, обслуживающих десятки или даже сотни сайтов, просто невозможны.

Сообщается, что зараженные сайты ведут пользователей на несколько вредоносных ресурсов, связанных с эксплоитом Blackhole. В Eset говорят, что уже сейчас несколько сотен серверов заражено кодом, тогда как количество взломанных сайтов, скорее всего, идет на тысячи.

"Атака особенно опасна в свете того, что Apache - это самый популярный сервер в мире. Кроме того, многие серверы не обслуживаются антивирусами, поэтому точно говорить о масштабах заражения просто невозможно", - говорят в Eset.

В самой антивирусной компании говорят, что впервые наткнулись на указанный вредоносный код, когда обнаружили факты взлома сайтов двух известных неназванных компаний.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код
Екатерина Быстрова 06 Ноября 2025 - 09:52
Трояны Домашние пользователиКорпорации Google
Вредонос PROMPTFLUX обращается к ИИ Gemini, чтобы менять свой код

Google сообщила о новой экспериментальной вредоносной программе, использующей искусственный интеллект для изменения собственного кода и сокрытия в целевой системе. Речь идет о PROMPTFLUX — вредоносном скрипте на VB Script, который взаимодействует с API Gemini, запрашивая у модели варианты обфускации и обхода антивирусных систем.

Как пояснили специалисты из Google Threat Intelligence Group (GTIG), PROMPTFLUX обращается к Gemini 1.5 Flash (и более поздним версиям), чтобы получать обновлённый код, способный обойти сигнатурное обнаружение.

Вредоносный скрипт использует встроенный API-ключ для отправки запросов напрямую к API Gemini и сохраняет новые версии в папке автозагрузки Windows.

Интересно, что внутри скрипта есть функция саморегенерации — AttemptToUpdateSelf. Хотя она закомментирована и неактивна, наличие логов взаимодействия с ИИ в файле thinking_robot_log.txt говорит о том, что авторы планируют создать «саморазвивающийся» вредоносный код.

 

Google отмечает, что существует несколько вариаций PROMPTFLUX, и в одной из них ИИ получает задачу полностью переписывать код скрипта каждый час. Однако на данный момент программа находится на стадии разработки и не способна заражать устройства. Судя по всему, за проектом стоит группа с финансовой мотивацией, а не государственные хакеры.

Некоторые эксперты, впрочем, считают, что история преувеличена. Исследователь Марк Хатчинс (Marcus Hutchins) заявил, что PROMPTFLUX не демонстрирует реальных признаков «умного» поведения:

«Модель Gemini не знает, как обходить антивирусы. Кроме того, код не имеет механизмов, гарантирующих уникальность или стабильность работы. А функция модификации кода даже не используется».

Тем не менее специалисты Google предупреждают, что злоумышленники активно экспериментируют с использованием ИИ не только для автоматизации задач, но и для создания вредоносных инструментов, которые способны адаптироваться «на лету».

Среди других примеров ИИ-вредоносов, обнаруженных Google, упоминаются:

  • FRUITSHELL — обратная оболочка на PowerShell, обученная обходить системы на основе LLM;
  • PROMPTLOCK — кросс-платформенный вымогатель на Go, использующий LLM для генерации вредоносных скриптов на Lua;
  • PROMPTSTEAL (LAMEHUG) — инструмент, применявшийся группировкой APT28 для атак на Украину;
  • QUIETVAULT — JavaScript-зловред, крадущий токены GitHub и NPM.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Ростелеком выпускает из-под крыла одну из дочек — похоже, ГК Солар
Новость
Ростелеком выпускает из-под крыла одну из дочек — похоже, ГК...
Массовые атаки стали сложнее, а их последствия – серьезнее
Новость
Массовые атаки стали сложнее, а их последствия – серьезнее
Мошенники создали более 400 сайтов для сбора данных российских школьников
Новость
Мошенники создали более 400 сайтов для сбора данных российск...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.