PowerGhost — новый бесфайловый майнер, способный совершать DDoS-атаки

Олег Иванов 27 Июля 2018 - 11:35

Домашние пользователи

Корпорации

Лаборатория Касперского

Вирусы-майнеры

DDoS-атаки

...

Исследователи «Лаборатории Касперского» обнаружили нового криптомайнера PowerGhost, который распространялся в корпоративных сетях по всему миру, заражая рабочие станции и серверы. В большей степени пострадали от его атак такие страны, как Бразилия, Колумбия, Индия и Турция. В России были зафиксированы атаки на десятки пользователей.

PowerGhost — это безфайловый зловред, то есть он существует в оперативной памяти устройства и не нуждается в исполняемых файлах для запуска, что значительно осложняет его обнаружение. Заражение компьютера этим вредоносом происходит с помощью эксплойтов или средств удалённого администрирования. Далее основная часть криптомайнера загружается и запускается без сохранения на жёстком диске. Сразу после этого киберпреступники могут предоставить PowerGhost возможности для автоматического обновления, распространения в сети и начала криптомайнинга.

В одной из версий PowerGhost был также обнаружен инструмент для проведения DDoS-атак. Вероятно, злоумышленники планировали получать дополнительный заработок со своего майнинг-ботнета, предоставляя услугу DDoS.

Примечательно, что случаи заражения новым зловредом подтвердили недавний прогноз экспертов «Лаборатории Касперского»: разработчики вредоносных криптомайнеров действительно переходят на целевые атаки с целью повышения финансовой прибыли.

PowerGhost представляет собой обфусцированный powershell-скрипт, содержащий основной код и дополнительные модули: непосредственно майнер, mimikatz, библиотеки msvcp120.dll и msvcr120.dll, необходимые для работы майнера, модуль для reflective PE injection и shellcode для эксплойта EternalBlue.

Зловред использует множество бесфайловых техник, чтобы оставаться незаметным для пользователя и избегать обнаружения антивирусными технологиями. Заражение машины происходит удаленно с использованием эксплойтов или инструментов удаленного администрирования (Windows Management Instrumentation). При заражении запускается однострочный powershell-скрипт, который выкачивает основное тело зловреда и сразу запускает его, не записывая на жесткий диск.

Следующая главная новость »

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!

Екатерина Быстрова 29 Апреля 2026 - 21:33

Уязвимости программ Домашние пользователи Корпорации

В GitHub нашли критическую дыру: можно было получить доступ к репозиториям

Исследователи из Wiz обнаружили критическую уязвимость в GitHub, которая позволяла выполнить код на серверной инфраструктуре платформы через обычную команду git push. Проблема получила идентификатор CVE-2026-3854 и затрагивала GitHub[.]com, корпоративный сервер GitHub и несколько облачных корпоративных версий GitHub.

Суть уязвимости была в ошибке обработки пользовательских параметров при git push.

Атакующему достаточно было иметь доступ на запись хотя бы в один репозиторий, в том числе созданный им самим, чтобы попытаться выполнить произвольные команды на сервере.

Для GitHub Enterprise Server это могло означать полную компрометацию сервера и доступ ко всем репозиториям и внутренним секретам. На GitHub.com риск был ещё больше: из-за общей бэкенд-инфраструктуры злоумышленник теоретически мог получить доступ к миллионам публичных и закрытых репозиториев, расположенных на затронутых узлах.

GitHub быстро закрыл проблему. Патч для GitHub.com развернули 4 марта, а для в GitHub Enterprise Server дыру закрыли 10 марта. По итогам внутреннего расследования корпорация заявила, что признаков эксплуатации уязвимости в реальных атаках не обнаружено.

Однако для корпоративных пользователей риск всё ещё актуален, если они не обновили свои инсталляции GitHub Enterprise Server. По данным Wiz, на момент публикации значительная часть таких серверов всё ещё оставалась без патча. Поэтому администраторам стоит как можно быстрее перейти на обновлённые версии.

Реагирование на инциденты ИБ: что делать, когда всё уже случилось?
Регистрируйтесь!