Атака вредоносного шифровальщика угрожает 3 млн уязвимых JBoss-серверов

Александр Панасенко 18 Апреля 2016 - 10:51

Корпорации

Cisco

Вредоносные программы

Трояны

Программы-шифровальщики

Уязвимости программ

...

Атака вредоносного шифровальщика угрожает 3 млн уязвимых JBoss-серверов

Исследователи безопасности из компании Cisco Systems предупредили, что сканирование сети выявило около 3.2 миллионов публично доступных серверов, которые потенциально могут стать объектами вредоносного ПО SamSam, шифрующего файлы и требующего заплатить деньги за расшифровку.

Проблеме подвержены системы, использующие устаревшие версии сервера приложений JBoss. Следует отметить, что несмотря на то, что JBoss является многоплатформенным продуктом и ассоциируется прежде всего с Red Hat Enterprise Linux, вредоносный шифровальщик SamSam (Win.Trojan.Samas) поддерживает только поражение серверов JBoss, работающих на базе ОС Windows.

В ходе исследования также выявлено примерно 2100 серверов, на которые уже проведена первая стадия атаки - внедрён бэкдор, позволяющий злоумышленникам полностью контролировать систему. Утверждается, что потенциально эти системы могут находится в стадии ожидания передачи вредоносного кода, осуществляющего шифрование, которое будет активировано после накопления большой порции контролируемых систем, пишет opennet.ru.

На многих поражённых системах используется библиотечное ПО Destiny, через которое организован доступ учащихся и учителей к образовательным ресурсам во многих школьных библиотеках. Разработчик данного ПО Follett сообщил о выявлении критической уязвимости, которая также могла быть использована для организации атаки.

Характер следов после проникновения злоумышленников говорит о том, что атаки пока носят нескоординированный характер и совершаются разными группами. Например, для атаки применяются семь разных уязвимостей в JBoss, а после проникновения устанавливаются разные web-shell, такие как "mela", "shellinvoker", "jbossinvoker", "zecmd", "cmd", "genesis", "sh3ll", "Inovkermngrt" и "jbot".

В качестве признаков получения злоумышленниками контроля за системой упоминается появление в системе сторонних файлов jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class. Предполагается, что для атаки применяется открытая утилита jexboss, предназначенная для тестирования незакрытых уязвимостей в JBoss.

Следующая главная новость »

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 24 Апреля 2026 - 19:27

Android Шпионские программы Программы слежения Домашние пользователи

Шпион Morpheus для Android угонял WhatsApp через фейковое обновление

Исследователи обнаружили новый шпионский инструмент для Android, который маскировался под приложение для обновления телефона. Зловред получил название Morpheus и, по данным Osservatorio Nessuno, может быть связан с итальянской компанией IPS, давно работающей на рынке технологий для перехвата коммуникаций по запросу госструктур.

Morpheus нельзя назвать технически изящным шпионским софтом уровня NSO Group или Paragon Solutions. Здесь нет заражения через 0-click уязвимости. Схема проще и грубее: жертву нужно убедить установить приложение самостоятельно.

По данным исследователей, в атаке участвовал мобильный оператор. Сначала у цели намеренно пропадал мобильный интернет, а затем приходило СМС с предложением установить приложение якобы для обновления телефона и восстановления доступа к сети. На деле это и был шпионский инструмент.

После установки Morpheus использовал функции специальных возможностей Android. Это позволяло ему читать данные с экрана и взаимодействовать с другими приложениями. Затем зловред показывал фейковое обновление, имитировал экран перезагрузки и подсовывал поддельный запрос от WhatsApp (принадлежит корпорации Meta, признанной экстремисткой и запрещённой в России) с просьбой подтвердить личность биометрией.

В реальности это действие давало шпионскому софту доступ к аккаунту WhatsApp: устройство добавлялось к учётной записи жертвы. Такой приём уже встречался в кампаниях правительственных хакеров.

Исследователи не раскрывают личность цели, но считают, что атака могла быть связана с политическим активизмом в Италии. По их словам, такие точечные атаки в этой среде становятся всё более привычными.

Чем заменить Microsoft 365 и Google Workspace в 2026?
Регистрируйтесь на эфир!