Gitpaste-12: самоходный Linux-бот, вооруженный десятком эксплойтов

Татьяна Никитина 09 Ноября 2020 - 17:42

Домашние пользователи

...

Исследователи из Juniper Networks обнаружили скриптового Linux-зловреда, обладающего функционалом червя. Анализ показал, что для самораспространения Gitpaste-12, как его нарекли в Juniper, использует брутфорс и эксплойты. Новоявленный бот также умеет загружать дополнительные модули, обращаясь к GitHub и Pastebin.

В поле зрения экспертов Gitpaste-12 впервые попал 15 октября. Судя по коммитам, которые изучили в Juniper, коды нового зловреда появились на GitHub в начале июля. Исследование образцов шелл-скрипта Gitpaste-12 выявило код тестов, свидетельствующий о незавершенности проекта. На настоящий момент вредонос способен атаковать Linux-серверы с архитектурой x86 и IoT-устройства на чипах ARM и MIPS.

За самораспространение бота на другие устройства отвечает один из его модулей. Как показало тестирование, этот скрипт выбирает для атаки произвольный блок адресов /8, выделенный по CIDR (Classless Inter-Domain Routing — метод бесклассовой адресации в сетях на основе IP-протокола), и начинает перебирать все адреса в этом диапазоне. Один из вариантов сценария также открывает порты 30004 и 30005 для получения шелл-команд.

Чтобы загрузить свою копию на целевое устройство, Gitpaste-12 пытается подобрать пароль к Telnet-службе или применяет эксплойт — их в арсенале зловреда больше десятка:

CVE-2017-14135 для расширения WebAdmin к сборке OpenDreamBox;
CVE-2020-24217 для видеокодеров IPTV/H.264/H.265 на чипах производства HiSilicon;
CVE-2017-5638 для фреймворка Apache Struts;
CVE-2020-10987 для роутеров от Tenda;
CVE-2014-8361 для демона Miniigd в составе SDK Realtek;
CVE-2020-15893 для стека UPnP в роутерах D-Link;
CVE-2013-5948 для роутеров Asus;
EDB-ID: 48225 для GPON-роутеров Netlink;
EDB-ID: 40500 для IP-камер AVTECH;
CVE-2019-10758 для веб-интерфейса СУБД MongoDB;
CVE-2017-17215 для WiFi-роутеров HG532 производства Huawei.

Проникнув в целевую систему, Gitpaste-12 подключается к Pastebin и, используя оставленную операторами ссылку, загружает рекурсивный сценарий. Для нового скрипта на устройстве создается cron-задача на выполнение с интервалом в 1 минуту. По словам экспертов, это нужно для получения обновлений через Pastebin.

Затем Gitpaste-12 скачивает с GitHub модуль shadu1 и инициирует его запуск. Назначением этого сценария является устранение возможных помех. Он пытается заблокировать штатные средства защиты системы: правила файрвола, контроль доступа SELinux, модуль безопасности AppArmor и более обычные программы мониторинга / предотвращения атак.

Примечательно, что shadu1 способен также по команде отключать приложения-агенты, обеспечивающие защиту облачных сред. В коде скрипта обнаружены комментарии на китайском языке. С учетом этих находок исследователи предположили, что авторы Gitpaste-12 намерены с его помощью атаковать облачную инфраструктуру Alibaba и Tencent. Их конечной целью может являться добыча Monero за счет чужих мощностей: судя по содержимому конфигурационного файла, зловред умеет запускать криптомайнер XMRig.

Поскольку Gitpaste-12 был обнаружен недавно, он пока плохо детектируется антивирусами из коллекции VirusTotal. Благодаря вмешательству Juniper ссылки на Pastebin, ассоциируемые с ботом, были удалены, а Git-репозиторий со зловредными файлами закрыли.

Следующая главная новость »

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!

Екатерина Быстрова 16 Марта 2026 - 11:23

iOS Мошенничество Онлайн-мошенничество Домашние пользователи F6

Мошенники превращают iPhone в кирпич через моды Telegram

В России появилась новая мошенническая схема, нацеленная на владельцев iPhone и iPad. Злоумышленники предлагают установить якобы «прокачанные» версии Telegram с дополнительными возможностями: встроенным VPN, анонимным номером, доступом к удалённым перепискам и даже бесплатным Premium. Но на деле всё заканчивается куда прозаичнее: устройство блокируют, а с владельца потом требуют деньги за разблокировку.

О новой схеме рассказали специалисты компании F6. По их данным, с 9 февраля по 5 марта 2026 года одна из групп, работающих по такому сценарию, похитила у пользователей в России почти 3 млн рублей.

Схема построена на актуальной повестке. На фоне замедления Telegram в России и разговоров о возможной блокировке мессенджера мошенники играют на тревоге пользователей, которые ищут способы сохранить доступ к сервису при любом развитии событий.

В качестве приманки используются так называемые моды Telegram — модифицированные версии приложения, которых нет в App Store. Пользователям обещают заманчивый набор функций: обход ограничений, режим инкогнито, просмотр удалённых сообщений, доступ к закрытым каналам и прочие «секретные возможности». Среди названий таких сборок фигурируют ToxicGram, DarkGram, HakoGram, HoloGram, AstroGram и Doxogram.

Дальше в ход идёт Telegram-бот. Он объясняет, что нужный мод нельзя установить из официального магазина, поэтому якобы нужно подключиться к другой учётной записи Apple. Мошенники называют это «передачей айклауда» и высылают инструкции: выйти из своего аккаунта и войти в чужой Apple ID по присланным логину и паролю.

И вот здесь для пользователя начинается самое неприятное. Как только устройство привязывается к подставному Apple ID, злоумышленники блокируют iPhone или iPad. После этого на экране оставляют контакты для связи, а дальше уже под видом «поддержки Apple» или неких специализированных сервисов начинают вымогать деньги за возврат доступа.

Причём многие жертвы даже не понимают, что общаются всё с теми же мошенниками, которые их и заблокировали. По данным F6, за разблокировку обычно требуют от 10 до 60 тысяч рублей. Сумма зависит от модели устройства. Чем дороже и новее гаджет, тем выше «тариф».

Средняя сумма списаний в этой схеме составила 11 837 рублей, но в компании подчёркивают, что реальные потери часто оказываются выше: многие переводят деньги злоумышленникам не одним платежом, а частями.

Identity Security 2026: как защитить доступ до компрометации?
Регистрируйтесь на эфир!