Путешествующий в облаках Linux-бот обрел DDoS-функциональность

Путешествующий в облаках Linux-бот обрел DDoS-функциональность

Путешествующий в облаках Linux-бот обрел DDoS-функциональность

По данным китайской ИБ-компании Qihoo 360, авторы объявившегося в июле Linux-зловреда с функциональностью червя постоянно его совершенствуют. В настоящее время Abcbot, как его именуют эксперты, умеет обновлять себя, использовать генератор доменов (DGA) для связи с C2, настраивать веб-сервер и проводить DDoS-атаки.

Первоначально вредонос представлял собой простенький сканер для проведения атак на серверы подбором паролей или через эксплойт уязвимостей. Используемые с этой целью шелл-скрипты подробно разобрали в прошлом месяце эксперты Trend Micro.

На тот момент Abcbot выступал в роли угонщика чужих мощностей, взламывая серверы в облаках для добычи криптовалюты. Эти атаки были примечательны тем, что зловред прибивал при этом штатные процессы, связанные с мониторингом и выявлением проблем безопасности, а также сбрасывал пароли к аккаунтам Elastic Cloud.

Анализ новейшей (шестой по счету) версии Abcbot показал, что он по-прежнему собирает и отсылает на С2-сервер информацию о зараженной системе, а также проводит сканирование портов в поисках других уязвимых Linux-машин. Кроме этого, зловред запускает на зараженном устройстве веб-сервер и ожидает команд (порт 26800) на проведение DDoS-атак.

 

Первоначальный вариант реализации DDoS-функциональности в Abcbot был многоступенчатым: бот каждый раз загружал с удаленного сервера исходный код руткита ATK, модифицировал его и перенаправлял полученную команду этому модулю.

В конце прошлого месяца зловред обрел собственный, кастомный компонент для проведения DDoS-атак, который поддерживает следующие техники:

  • tls Attack
  • tcp Attack
  • udp Attack
  • ace Attack
  • hulk Attack
  • httpGet Attack
  • goldenEye Attack
  • slowloris Attack
  • bandwidthDrain Attack

Размеры ботнета, созданного на основе Abcbot, пока невелики. По данным Qihoo 360, в настоящее время он охватывает 260 хостов (IP-адресов).

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

УБК МВД предупреждает о новой схеме перехвата платежных данных

Управление по организации борьбы с противоправным использованием информационно-коммуникационных технологий МВД России (УБК МВД) предупреждает о новой схеме мошенничества, основанной на перехвате платёжных данных через функцию демонстрации экрана.

Как сообщает официальный телеграм-канал УБК МВД «Вестник киберполиции России», злоумышленники ищут потенциальных жертв среди людей, которые подыскивают работу или подработку.

Чаще всего аферисты предлагают вакансию помощника для пожилого человека, в обязанности которого входит закупка продуктов и лекарств.

После этого мошенники переводят общение в мессенджер, где передают списки покупок и якобы отправляют деньги для их оплаты.

Чтобы внушить доверие, жертве направляют поддельное СМС-сообщение от банка о переводе средств. Таким образом создаётся иллюзия реальной финансовой операции и укрепляется вера в «работодателя».

Под предлогом контроля расходов аферисты просят включить демонстрацию экрана. Это позволяет им перехватывать реквизиты онлайн-банка, включая коды из СМС или push-уведомлений, используемые для двухфакторной аутентификации.

В УБК МВД напомнили: ни при каких обстоятельствах нельзя включать демонстрацию экрана при общении с незнакомыми людьми.

Популярность этой мошеннической техники резко выросла в 2024 году. По данным Банка России, на такие схемы приходилось до 20% дистанционных хищений, общий ущерб составил около 1 млрд рублей. Массово применять её начали уже в январе 2024 года.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru