Новый Linux-бэкдор приходит через дыру в Log4J и прокладывает DNS-туннель

Татьяна Никитина 16 Марта 2022 - 14:47

Домашние пользователи

...

В начале февраля в сетевую ловушку Qihoo 360 попал вредоносный ELF-файл, который система опознала как незнакомца. Анализ нового семпла показал, что это бот с функциями бэкдора, способный также открывать SOCKS5-прокси и устанавливать руткит.

Новобранец, которого эксперты нарекли B1txor20, распространяется через эксплойт Log4Shell (CVE-2021-44228) и примечателен тем, что для маскировки коммуникаций с C2 использует DNS-туннелирование. Наличие большого количества неиспользуемых функций, а также багов в реализации некоторых механизмов позволило аналитикам заключить, что данный Linux-бот находится в стадии активной разработки.

Троян нацелен в основном на устройства с CPU-архитектурой ARM или х86 64-бит. На настоящий момент обнаружено четыре образца B1txor20 с почти одинаковым набором функций. Из основных исследователи назвали следующие:

создание сокета для обеспечения шелл-доступа;
создание и запуск прокси-сервиса;
выполнение произвольных системных команд (поддерживаются полтора десятка);
установка руткита;
загрузка информации о системе на удаленный сервер.

В зараженной системе зловред выдает себя за процесс netns. При исполнении он генерирует свой ID и расшифровывает (XOR) доменное имя для связи с C2 через DNS-туннель (webserv.systems, зарегистрировано на шесть лет), а также секретный ключ RC4 для шифрования трафика.

После этого B1txor20 проверяет доступность DNS-сервера и по результатам теста выбирает вариант связи (прямой или релейный) для регистрации на C2-сервере и приема команд. Для защиты своего трафика вредонос использует не только RC4-шифрование, но также сжатие данных с помощью ZLIB и кодирование по base64.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 20 Июня 2025 - 16:53

Мошенничество Соответствие законодательству РФ Домашние пользователи

Мошенники выдали курьеру суточные для кражи 2,6 млн рублей у пенсионерки

В Иркутске задержали молодого человека, который по указке телефонных мошенников съездил в Москву и забрал 2,6 млн руб. у 76-летней жертвы обмана. Поймать курьера удалось благодаря обращению пенсионерки в полицию.

По словам жительницы столичного Новогиреево, ей поступил звонок из некоей компании по установке домофонов. Для подтверждения заявки собеседник попросил назвать код из СМС.

Заполучив заветный ключ, аферисты стали названивать от имени госструктур, пытаясь убедить пожилую женщину в наличии угрозы ее сбережениям. В итоге жертва сняла все деньги со счетов, суммарно 2,6 млн руб., и передала их прибывшему гонцу.

Озарение пришло лишь после опрометчивого поступка. По жалобе была запущена обычная для таких случаев процедура: проведены оперативно-разыскные мероприятия, установлена личность курьера, оформлена служебная командировка в Иркутск/

Как оказалось, участники мошеннической схемы, отправив задержанного в дальний путь, даже оплатили ему проживание и питание в Москве. Забрав деньги у жертвы, 21-летнмй парень перевел их на заранее оговоренный криптокошелек.

Уголовное дело возбуждено по признакам совершения преступления, предусмотренного ч. 4 ст. 159 УК РФ (мошенничество в составе ОПГ либо в крупном размере, до 10 лет лишения свободы со штрафом до 1 млн рублей).

Время до начала судебного процесса сибиряк проведет под стражей. Полиция ищет других соучастников и жертв мошеннической схемы.

Заметим, замена кодов домофонов далеко не первый раз используется как предлог для обзвона граждан с целью обмана. Призвать аферистов к ответу далеко не всегда удается, гораздо проще выявить и поймать курьеров телефонных мошенников.

Соглашаясь на такую работу, наемники порой не осознают, что в случае поимки им грозят тюремные сроки, а при активном сотрудничестве с мошенниками — даже немалые.