Amazon рассказал о рекордно мощной DDoS-атаке — 2,3 Tbps

Amazon рассказал о рекордно мощной DDoS-атаке — 2,3 Tbps

Amazon рассказал о рекордно мощной DDoS-атаке — 2,3 Tbps

Компания Amazon рассказала о мощнейшей DDoS-атаке на системы одного из своих клиентов. По словам американской корпорации, AWS Shield отразил DDoS мощностью 2,3 Tbps (терабит в секунду) в середине февраля 2020 года.

Данный киберинцидент Amazon описала в своём отчёте AWS Shield Threat Landscape (PDF), повествующем об атаках, с которыми имел дело защитный сервис AWS Shield.

В документе Amazon не называется конкретный клиент, на которого был нацелен DDoS, однако специалисты упомянули, что в ходе кибератаки использовались взломанные веб-серверы CLDAP. В результате команда AWS Shield три дня боролась с угрозой.

Напомним, что протокол CLDAP пришёл на смену устаревшему LDAP, его используют для подключения, поиска и модификации расшаренных директорий. Киберпреступники задействуют протокол CLDAP для DDoS-атак с конца 2016 года. CLDAP-серверы известны тем, что способны увеличивать мощность DDoS в 56-70 раз.

Предыдущий рекорд по мощности установила отбитая специалистами NETSCOUT Arbor в марте 2018 DDoS-атака — 1,7 Tbps. До этого лидерство принадлежало атаке на GitHub — 1,3 Tbps (февраль 2018 года).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Троян Shuyal Stealer ворует данные из 19 браузеров и исчезает без следа

В ИБ-компании Point Wild проанализировали образец Windows-стилера Shuyal, объявившегося в июле, и обнаружили внушительный список целевых браузеров — 19 наименований, в том числе Яндекс Браузер и Tor.

Свое имя написанный на C++ зловред (детектится на VirusTotal с результатом 48/72 по состоянию на 8 октября) получил по найденному в экзешнике идентификатору. От собратьев новобранец отличается не только большим количеством целей, но также умением заметать следы.

После запуска Shuyal Stealer прежде всего выполняет глубокое профилирование зараженной системы с помощью WMI: собирает данные жестких дисков (модель, серийный номер), подключенной клавиатуры (включая ID), информацию о настройках монитора, чтобы выстроить стратегию кражи данных сообразно конкретным условиям.

Троян также прибивает Диспетчер задач, способный выдать запуск вредоносных процессов, и прописывается в системе на автозапуск.

Кража данных осуществляется с помощью скриптов PowerShell. При этом зловреда интересует следующая информация:

  • сохраненные в браузере учетки, куки и история посещения сайтов;
  • содержимое буфера обмена;
  • токены аутентификации из Discord, Discord Canary и Discord PTB.

Инфостилер также умеет делать скриншоты, чтобы добавить контекст к украденным данным.

Вся добыча вместе с журналом вредоносной активности (history.txt) помещается в директорию runtime, специально создаваемую в папке временных файлов. Для эксфильтрации ее содержимое архивируется (runtime.zip) и затем отсылается в телеграм-бот, который Shuyal находит по вшитому ID.

Завершив кражу и вывод данных, Shuyal пытается стереть все следы своего присутствия в системе с помощью скрипта util.bat.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru