Ботнет-каннибал более года захватывал веб-шеллы на серверах

Ботнет-каннибал более года захватывал веб-шеллы на серверах

Ботнет-каннибал более года захватывал веб-шеллы на серверах

В ходе крупной операции ботнет атаковал и захватывал веб-шеллы (бэкдоры на серверах), используемые в других вредоносных кампаниях. По словам специалистов компании Positive Technologies, эта деятельность длилась более года.

Исследователи связывают этот ботнет с трояном для Windows под названием Neutrino (также известен под именем Kasidet). Судя по всему, злоумышленники переключились с десктопов на веб-серверы.

Как выяснили эксперты Positive Technologies, новая кибероперация преступников стартовала в начале 2018 года. Именно тогда был создан многофункциональный ботнет Neutrino, сканирующий случайные IP-адреса в Сети.

Ботнет искал конкретные веб-приложения и серверы, которые можно было заразить. В ходе компрометации вредонос использовал различные техники: эксплойты для новых и старых уязвимостей, поиск оставленного без пароля phpMyAdmin, брутфорс-атаки.

Казалось бы, ничего интересного, практически все подобные ботнеты действуют так. Однако у этого образца есть одна отличительная черта.

Исследователи отметили, что Neutrino местами ведёт себя довольно странно — ищет ноды Ethereum с паролем по умолчанию, подключается к этим системам и крадет все средства, которые хранятся локально.

Более того, ботнет пытается получить контроль над веб-шеллами. Веб-шеллы представляют собой скрипты, создающие бэкдор на серверах. Такие шеллы размещают киберпреступники, чья задача — скомпрометировать сервер.

Команда Positive Technologies отметила, что Neutrino искал 159 разных типов PHP-шеллов и два вида JSP-шеллов. После этого ботнет запускал брутфорс, с помощью которого пытался вычислить учетные данные. Если ему удавалось это, веб-шелл полностью переходил под контроль его операторов.

Стоит отметить, что нечасто увидишь такое поведение ботнета, которое образно похоже на каннибализм.

С отчетом Positive Technologies можно ознакомиться здесь.

VK распродаёт активы и перестраивается под санкциями

VK резко перестраивает работу после новых ограничений Евросоюза. За несколько дней холдинг продал RuStore, объявил окончательный переезд с домена .com на .ru и лишился приложений сразу в двух крупнейших западных магазинах.

С 15 июля владельцем разработчика RuStore — компании «Много приложений» — стал её гендиректор Дмитрий Панкрушев.

Ранее бизнес целиком принадлежал VK. Сумма сделки не раскрывается, но эксперты оценивают актив примерно в 2 млрд рублей и связывают продажу с попыткой вывести магазин приложений из-под санкционного зонта холдинга.

Следом VK сообщил об исчезновении своих сервисов из Google Play. Вместе с VK и Max из каталога пропали «Одноклассники», Mail.ru, «Дзен» и «Юла». Ранее часть приложений холдинга уже удаляли из App Store.

Компания заверяет, что установленные версии продолжают работать, пуши и звонки не отключатся, а скачать приложения можно через RuStore и магазины производителей смартфонов.

Параллельно VK завершает переезд с vk.com на vk.ru. Для обычного пользователя это выглядит как смена нескольких букв, но внутри завязаны API, авторизация и партнёрские интеграции.

Эксперты, которых цитирует «КоммерсантЪ», считают, что переход в российскую доменную зону позволит снизить зависимость от зарубежной инфраструктуры. Некоторые участники рынка, впрочем, называют переезд срочным и вынужденным.

Инвесторы энтузиазма не проявили: 16 июля акции VK падали более чем на 7%.

Получается полноценная цифровая эвакуация: RuStore — за периметр холдинга, приложения — в альтернативные каталоги, домен .com — на выход. VK не просто меняет адрес, а срочно собирает инфраструктуру там, где до неё сложнее дотянуться санкциям.

RSS: Новости на портале Anti-Malware.ru