Путешествующий в облаках Linux-бот обрел DDoS-функциональность
Главная » Новости

Путешествующий в облаках Linux-бот обрел DDoS-функциональность

Татьяна Никитина 12 Ноября 2021 - 17:24
...
Путешествующий в облаках Linux-бот обрел DDoS-функциональность

По данным китайской ИБ-компании Qihoo 360, авторы объявившегося в июле Linux-зловреда с функциональностью червя постоянно его совершенствуют. В настоящее время Abcbot, как его именуют эксперты, умеет обновлять себя, использовать генератор доменов (DGA) для связи с C2, настраивать веб-сервер и проводить DDoS-атаки.

Первоначально вредонос представлял собой простенький сканер для проведения атак на серверы подбором паролей или через эксплойт уязвимостей. Используемые с этой целью шелл-скрипты подробно разобрали в прошлом месяце эксперты Trend Micro.

На тот момент Abcbot выступал в роли угонщика чужих мощностей, взламывая серверы в облаках для добычи криптовалюты. Эти атаки были примечательны тем, что зловред прибивал при этом штатные процессы, связанные с мониторингом и выявлением проблем безопасности, а также сбрасывал пароли к аккаунтам Elastic Cloud.

Анализ новейшей (шестой по счету) версии Abcbot показал, что он по-прежнему собирает и отсылает на С2-сервер информацию о зараженной системе, а также проводит сканирование портов в поисках других уязвимых Linux-машин. Кроме этого, зловред запускает на зараженном устройстве веб-сервер и ожидает команд (порт 26800) на проведение DDoS-атак.

 

Первоначальный вариант реализации DDoS-функциональности в Abcbot был многоступенчатым: бот каждый раз загружал с удаленного сервера исходный код руткита ATK, модифицировал его и перенаправлял полученную команду этому модулю.

В конце прошлого месяца зловред обрел собственный, кастомный компонент для проведения DDoS-атак, который поддерживает следующие техники:

  • tls Attack
  • tcp Attack
  • udp Attack
  • ace Attack
  • hulk Attack
  • httpGet Attack
  • goldenEye Attack
  • slowloris Attack
  • bandwidthDrain Attack

Размеры ботнета, созданного на основе Abcbot, пока невелики. По данным Qihoo 360, в настоящее время он охватывает 260 хостов (IP-адресов).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники придумали новый скрипт по угону учетной записи Госуслуг
Яков Шпунт 06 Мая 2025 - 10:25
ФишингУтечки информацииУмышленные утечки информацииКража данныхМошенничествоОнлайн-мошенничество Домашние пользователи
Мошенники придумали новый скрипт по угону учетной записи Госуслуг

Злоумышленники разработали новую многоступенчатую схему кражи учётных данных, основной целевой аудиторией которой стали пенсионеры. В качестве предлога используется «оцифровка данных, необходимых для подтверждения трудового стажа».

О деталях схемы рассказала изданию «Лента.RU» доктор технических наук, заведующая кафедрой КБ-4 «Интеллектуальные системы информационной безопасности» РТУ МИРЭА Елена Максимова.

По её словам, мошенники создают чаты в мессенджерах и представляются сотрудниками организаций, где ранее работали их жертвы. Под предлогом проведения оцифровки злоумышленники имитируют групповое обсуждение, в котором якобы участвуют бывшие коллеги.

Участники чата задают вопросы, выражают согласие с необходимостью процедуры, после чего появляется сообщение о неких «ключах от Роструда», которые якобы требуются для завершения процесса. В фейковом диалоге «коллеги» подтверждают получение кодов, создавая видимость официальности.

Через день-два жертве пишут: «Остались только вы». В этот момент ей приходит шестизначный код, который, согласно инструкции, нужно переслать в чат. Как только это происходит, мошенники выходят на связь и сообщают, что это был код авторизации от портала Госуслуг, и теперь они получили полный доступ к учётной записи. Почти одновременно приходит поддельное уведомление от лица Госуслуг о «несанкционированном входе», чтобы усилить панику и убедить жертву в реальности угрозы.

Следующий этап — отправка поддельной доверенности на распоряжение имуществом гражданина.

«Когда пострадавший отказывается признавать подпись, ему угрожают "проверкой от Роскомнадзора". Завершает схему звонок от лжесотрудника ведомства, который под видом "защиты активов" убеждает перевести деньги на "безопасный счёт" или оформить продажу квартиры. Если человек не может говорить, мошенники продолжают манипуляции через текстовые сообщения», — поясняет Максимова.

Эксперт подчёркивает, что сотрудники госорганов никогда не просят сообщать коды из СМС- или пуш-уведомлений. А узнать информацию о трудовом стаже и пенсионных начислениях можно напрямую в Социальном фонде. При подозрении на взлом учётной записи Госуслуг необходимо как можно скорее обратиться в техническую поддержку портала и в правоохранительные органы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Атаки через подрядчиков вошли в топ угроз для российских компаний
Новость
Атаки через подрядчиков вошли в топ угроз для российских ком...
ГК Солар предложила крупному бизнесу услугу архитектора кибербезопасности
Новость
ГК Солар предложила крупному бизнесу услугу архитектора кибе...
Биометрию разрешат использовать в телемедицине
Новость
Биометрию разрешат использовать в телемедицине

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.