Android-ботнет использует ADB и SSH для создания майнинговой армии

Android-ботнет использует ADB и SSH для создания майнинговой армии

Android-ботнет использует ADB и SSH для создания майнинговой армии

На днях был обнаружен криптомайнинговый ботнет, использующий интерфейс отладочного моста Android (Android Debug Bridge, ADB) и SSH-подключения для распространения на другие устройства.

По умолчанию ADB отключен на большинстве Android-устройств, однако некоторые девайсы поставляются с включенным отладочным мостом. Если включен, ABD может позволить не прошедшему аутентификацию атакующему подключаться удаленно по TCP-порту 5555.

При подключении злоумышленник может получить прямой доступ с помощью командной строки ADB, которая используется разработчиками для инсталляции и отладки своих приложений.

«Ботнет был замечен в 21 стране, однако наибольший процент зараженных устройств находится в Южной Корее», — пишут специалисты Trend Micro, обнаружившие эту киберугрозу.

Поисковик Shodan выдает 13 577 потенциальных жертв ботнета, так как на них активирован интерфейс для отладки ADB.

Попав в систему, зловред проверяет ее на связь с ханипотами экспертов в области безопасности и антивирусных компаний. Затем на устройство загружается криптомайнер, причем вредонос может выбрать из трех различных майнеров.

Также в этом семействе вредоносных программ прослеживается еще один метод распространения — SSH. Именно этот способ позволяет злоумышленникам распространять свой майнер на устройства, перечисленные в списке known_hosts.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В InfoWatch ARMA Industrial Firewall добавили поддержку Alpha.Link

InfoWatch сообщила об обновлении промышленного межсетевого экрана ARMA Industrial Firewall до версии 3.14. В новой версии добавлена поддержка протокола Alpha.Link, используемого в российской платформе для разработки АСУ ТП — «Альфа платформе» от «Атомик Софт».

Этот протокол используется в SCADA-системах различных отраслей: от добывающей промышленности до энергетики и транспорта.

Кроме того, улучшена работа с протоколом CIP/EthernetIP — теперь можно задавать политики безопасности на уровне адресов переменных.

Это даёт возможность разрешать доступ только к конкретным областям памяти ПЛК и создавать универсальные правила, не привязанные к отдельным командам. Такой подход упрощает настройку правил доступа и повышает гибкость.

Также в версии 3.14 появились следующие нововведения:

  • Поддержка 16 промышленных протоколов с разбором до уровня команд, включая Modbus, DNP3, S7 и другие. Это даёт возможность контролировать действия в сетях АСУ ТП на более глубоком уровне.
  • LACP-агрегация каналов теперь доступна через графический интерфейс — это упростило настройку отказоустойчивых соединений.
  • Статусы IPSec-подключений теперь можно отслеживать через SNMP, а MIB-файл доступен для выгрузки — это упростит интеграцию с системами мониторинга.

Обновление ориентировано на повышение управляемости и расширение совместимости с отечественными промышленными решениями. Поддержка протокола Alpha.Link особенно актуальна для предприятий, использующих «Альфа платформу» в своих АСУ ТП.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru