Вредоносная кампания Zealot использует АНБ-эксплойты для майнинга Monero

Вредоносная кампания Zealot использует АНБ-эксплойты для майнинга Monero

Эксперты зафиксировали агрессивную и сложную рекламную кампанию, ориентированную на серверы Linux и Windows. Она отличается использованием множества эксплойтов, с помощью которых в систему устанавливается вредоносная программа, добывающая криптовалюту Monero.

Кампанию обнаружили специалисты F5 Networks, которые дали ей имя Zealot — один из вредоносных файлов этой кампании имел имя zealot.zip.

По словам Максима Заводчика (Maxim Zavodchik) и Лирона Сигала (Liron Segal), двух исследователей безопасности F5 Networks, злоумышленники ищут в Сети конкретные сервера и используют два эксплойта — один для Apache Struts (CVE-2017-5638) и один для DotNetNuke ASP.NET CMS ( CVE-2017-9822). Эти эксплойты позволяют проникнуть на систему и закрепиться в ней.

Эксплойт для Apache Struts использовался ранее в этом году для взлома финансового гиганта США Equifax. В этой кампании Struts-уязвимость используется для доставки пейлоада, атакующего как Linux, так и Windows-системы.

Если злоумышленникам попалась Windows-машина, они используют два эксплойта АНБ — EternalBlue и EternalSynergy, опубликованные Shadow Brokers в начале этого года. После этого этапа киберпреступники используют PowerShell для загрузки и установки вредоносной программы, которая майнит Monero.

В Linux злоумышленники используют скрипты Python, которые, как представляется, взяты из EmpireProject, после чего также устанавливают майнер Monero.

Эксперты F5 полагают, что киберпреступники заработали 8 500 долларов за счет этих атак. Также специалисты отмечают, что злоумышленники вполне могут переключиться на использование вымогателя вместо майнера.

Интересной особенностью является то, что эта группа злоумышленников, судя по всему, является поклонниками StarCraft, так как их файлы заимствуют имена и термины из этой вселенной — Zealot, Observer, Overlord, Raven.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

British Airways нашла способ свалить взлом на русских хакеров

Авиакомпания British Airways, которая в сентябре стала жертвой взлома, нашла повод приписать кибератаку великим и могучим «русским хакерам», которые якобы похитили данные с карт клиентов компании. В British Airways считают, что злоумышленники могли заработать более $12 миллионов.

После инцидента British Airways инициировала расследование, по результатам которого стало известно — атакующие смогли получить доступ к данным 244 тысяч карт. Более того, киберпреступники продавали украденные данные на просторах Сети.

Взлом наложил определенный отпечаток на репутацию авиакомпании. В частности, клиенты раскритиковали работу British Airways в социальной сети.

В сентябре стало известно, что киберпреступники украли данные клиентов компании с сайта ba.com.

В опубликованном заявлении British Airways утверждала, что была похищена «личная и финансовая информация» клиентов, которые совершали операции на сайте или в приложении в период между 21 августа и 5 сентября.

Чуть позже исследователь Йонатан Клинсма из RiskIQ сообщил, что утечка данных крупнейшей авиакомпании Великобритании British Airways была результатом работы известной преступной группы Magecart.

Киберпреступная группа Magecart уже много лет атакует онлайн-магазины, после чего использует полученную информацию для совершения мошеннических действий с банковскими картами пользователей.

Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новости на портале Anti-Malware.ru