50 тыс. серверов заразили вредоносным майнером для добычи TurtleCoin

50 тыс. серверов заразили вредоносным майнером для добычи TurtleCoin

Около 50 000 серверов за последние четыре месяца были заражены вредоносным майнером, целью которого была добыча цифровой валюты с открытым исходным кодом — TurtleCoin. Специалисты полагают, что за этой кампанией стоят киберпреступники из Китая.

Кибероперация злоумышленников привлекла внимание экспертов компании Guardicore Labs, которые вчера опубликовали посвященное ей исследование. Специалисты дали кампании имя — Nansh0u (текстовая строка в файле на серверах злоумышленников носила такое название).

В своих атаках китайские киберпреступники полагаются на техники, присущие APT-группам (занимающиеся целевыми атаками хорошо подготовленные преступники). Например, атакующие использовали сертификаты для 20 различных версий пейлоада.

«Среди скомпрометированных конечных точек были более 50 тыс. серверов, принадлежащих компаниям в сфере здравоохранения, телекоммуникации, медиа и ИТ», — пишет команда Guardicore Labs.

«После успешной компрометации атакованные серверы заражались вредоносной нагрузкой, которая затем устанавливала криптомайнер и сложный руткит уровня ядра, который помогал защитить вредонос от удаления».

По словам исследователей, операция киберпреступников длится с февраля.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Firefox- и Chrome-расширение Behave! предупредит о сканировании портов

Новое расширение для популярных браузеров предупредит пользователей, если какой-либо веб-сайт использует скрипты для сканирования портов или пытается атаковать устройства в сети посетителя.

В процессе веб-сёрфинга пользователь может наткнуться на ресурсы, в страницы которых встроены определённые скрипты. Последние могут не только сканировать порты посетителя, но и осуществлять атаки на другие устройства в сети пользователя.

В мае специалисты в области кибербезопасности уже поднимали эту тему, когда указывали на несанкционированное сканирование портов Windows сайтом eBay.com. Однако в тот раз выяснили, что знаменитый сайт-аукцион пытается выявить взломанные компьютеры.

Тем не менее многих пользователей не удовлетворили обоснования — они всё равно посчитали такое поведение нежелательным вторжением и угрозой конфиденциальности.

Ещё хуже, что в теории один из злонамеренных сайтов может использовать JavaScript для осуществления атак вида DNS Rebinding — когда DNS-разрешением манипулируют через TTL.

На практике такие атаки позволяют взломать другие устройства, находящиеся в сети жертвы. Обычно злоумышленники применяют эту технику против маршрутизаторов, IoT-устройств и внутренних компьютеров с установленным уязвимым софтом.

Новая разработка Behave! призвана бороться с такими атаками. В настоящее время соответствующее расширение могут установить пользователи браузеров Chrome и Firefox. В скором времени ожидаются также версии для Microsoft Edge и Safari, утверждают разработчики.

После установки Behave! будет мониторить наличие на ресурсах подозрительных скриптов, которые пытаются получить доступ к IP-адресам из следующих блоков:

  • Loopback addresses IPv4 127.0.0.1/8
  • Loopback addresses IPv6 ::1/128
  • Private Networks IPv4 10.0.0.0/8 - 172.16.0.0/12 - 192.168.0.0/16
  • Unique Local Addresses IPv6 fc00::/7

Если аддон зафиксирует вредоносный скрипт, рядом с его иконкой появится красный указатель.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru