У Linux-зловреда Gafgyt появился наследник — Enemybot

У Linux-зловреда Gafgyt появился наследник — Enemybot

У Linux-зловреда Gafgyt появился наследник — Enemybot

В Fortinet проанализировали образцы нового DDoS-бота и пришли к выводу, что он создан на основе исходников Gafgyt, утекших в Сеть в 2015 году. Новобранец Enemybot объявился в середине прошлого месяца, когда начал атаковать роутеры Seowon Intech и D-Link, а также свежую уязвимость в сетевых устройствах производства «iRZ Электроника».

Анализ кода новоявленного Linux-зловреда не только установил его родство с Gafgyt, aka Bashlite, Lizkebab и Torlus, но также выявил несколько модулей, позаимствованных у Mirai. Создателем Enemybot, по всей видимости, является криминальная группа Keksec (вредонос сам об этом заявляет, проникнув на устройство) — специалист по криптоджекингу и DDoS.

Как и многие собратья, новый вредонос старается заразить как можно больше различных сетевых устройств, атакуя не только разнообразные IoT, но также десктопные и серверные платформы — BSD, Darwin, x64. Чтобы затруднить обнаружение и анализ, Enemybot использует простейшие техники обфускации и прячет свой C2-сервер в сети Tor, а от конкурентов избавляется, прибивая их процессы с помощью скопированного модуля Mirai.

Из средств самораспространения вредонос использует брутфорс со сканом портов SSH и Telnet (список комбинаций логин – пароль жестко прописан в коде), шелл-команды для Android (в тех случаях, когда утилита ADB доступна на порту 5555 из-за неправильных настроек), а также больше десятка эксплойтов.

Из последних примечательны следующие:

Новые боты способны по команде проводить флуд-атаки (TCP, UDP, DNS, ICMP, HTTP), атаки с отражением и усилением трафика через DNS-резолверы, а также прицельные DDoS-атаки на серверы OVH и хостеров игры Ark: Survival Evolved.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Ozon отстранил курьеров за использование данных клиентов

Маркетплейс Ozon сообщил об отстранении от работы курьеров, которые неправомерно использовали личные данные клиенток. Ранее депутат Госдумы Ксения Горячева обратилась к генеральному директору «Озон холдинг» Дмитрию Киму с запросом о мерах, предпринимаемых для защиты персональных данных пользователей.

Как передаёт ТАСС, документ с запросом оказался в распоряжении агентства. Поводом для обращения стали жалобы клиенток маркетплейса на недопустимое поведение курьеров.

В одном случае сотрудник использовал контактный номер покупательницы для личной переписки, в ходе которой допускал грубые и нецензурные выражения. В другом случае клиентка стала жертвой сталкинга — курьер звонил ей с разных номеров и проявлял агрессию в различных формах.

«О двух случаях, указанных в обращении, нам известно — эти курьеры были немедленно отстранены и внесены в чёрный список. Они больше не смогут доставлять заказы для сервисов Ozon, поскольку подобное поведение недопустимо», — сообщили в пресс-службе компании.

В Ozon также отметили, что с 2024 года в компании внедряется система защиты контактных данных клиентов. Теперь курьеры совершают звонки через виртуальные номера и не видят реальные контакты покупателей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru