Twitch, Reddit, GitHub недоступны из-за проблем у CDN-провайдера Fastly

Twitch, Reddit, GitHub недоступны из-за проблем у CDN-провайдера Fastly

Неожиданный сбой сети доставки контента Fastly вывел в офлайн множество популярных сайтов, в том числе Spotify, Twitch, Stack Overflow, GitHub, PayPal, Vimeo и Reddit. Операторы CDN уже идентифицировали проблему и пытаются ее исправить.

Глобальная CDN-сеть Fastly пользуется особой популярностью у СМИ. В ней размещены новостные порталы таких крупных издателей, как CNN, The Guardian, The New York Times, BBC, Financial Times.

Масштабный сбой, который в Fastly определили как «global CDN disruption» («глобальная дестабилизация сети доставки контента»), произошел сегодня, 8 июня, в 09:58 UTC. Падение производительности сервисов наблюдалось во всех регионах.

 

Оператор CDN-сети запустил расследование, и в течение часа проблему идентифицировали. Необходимые изменения уже произведены, но клиентов предупредили, что восстановление работы сервисов может вызвать перегрузки из-за роста обращений к источнику (в CDN-сети запросы на контент многократно кешируются).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

macOS-зловред UpdateAgent получил новый дроппер, написанный на Swift

Исследователи macOS-угроз из американской компании Jamf проанализировали свежий образец UpdateAgent и обнаружили ряд изменений. Как оказалось, заточенный под macOS зловред теперь закачивает дополнительную полезную нагрузку, используя дроппер, написанный на Swift.

Троян UpdateAgent, он же WizardUpdate и Vigram, известен ИБ-сообществу с конца 2020 года. Вначале он был пригоден лишь для кражи системной информации, но проект постоянно совершенствуется, и в итоге вредонос, умеющий обходить Gatekeeper, стал использоваться для доставки из облака других файлов в рамках атаки — в основном программ для принудительного показа рекламы (adware).

Новый дроппер UpdateAgent, по свидетельству Jamf, маскируется под легитимный бинарник Mach-O с именем PDFCreator либо ActiveDirectory. При исполнении он подключается к удаленному серверу (URL в этих вариантах разные) для получения команд, отдаваемых в виде bash-скрипта.

Исполнение заархивированного сценария (activedirec.sh или bash_qolveevgclr.sh) бесфайловым методом является главной задачей Swift-дроппера. Вставленная в скрипт ссылка привязана к хранилищу Amazon S3 с DMG-файлом — приложением, копию которого дроппер помещает в папку временных файлов.

Примечательно, что вредонос также модифицирует файл /etc/sudoers таким образом, чтобы повысить уровень исполнения вторичной полезной нагрузки до root, притом без пароля на запуск. Этот трюк возможен лишь в том случае, когда UpdateAgent работает с привилегиями суперпользователя.

Помимо этого зловред создает LaunchAgent уровня пользователя для автозапуска вредоносного сценария. Последний после активации выжидает немного (для скрытности), а затем приступает к удалению свидетельств непрошеного вторжения — демонтирует DMG-файл и откатывает изменение файла настройки команды sudo (/etc/sudoers).

Исследователям из Jamf попалась еще одна полезная нагрузка второй ступени — исполняемый код, именуемый ActiveDirectory. Он идентичен экзешнику PDFCreator, но использует другой URL для загрузки bash-скрипта, который пока только регистрируется в облаке и ждет дальнейших инструкций.

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Яндекс Дзен, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru