Сетевые устройства Windows и Linux атакует новый самоходный Golang-зловред

Сетевые устройства Windows и Linux атакует новый самоходный Golang-зловред

Сетевые устройства Windows и Linux атакует новый самоходный Golang-зловред

Команда Black Lotus Labs (ИБ-подразделение Lumen Technologies) предупреждает о появлении новой угрозы — ботнета Chaos, способного проводить DDoS-атаки и майнить криптовалюту. Лежащий в его основе вредонос совместим и с Windows, и с Linux и уже проник на сотни серверов и SOHO-роутеров в европейских странах, США и Китае.

По словам экспертов, бот-сеть на базе Chaos (не путать с одноименным билдером шифровальщиков) пока невелика, но обладает большим потенциалом роста. Создатели зловреда предусмотрели возможность работы на аппаратных платформах разной архитектуры — ARM, Intel (i386), MIPS, PowerPC. Новобранец также умеет самостоятельно распространяться с помощью эксплойтов и через брутфорс — перебором ключей SSH, которые он нашел на зараженном хосте или получил списком с C2-сервера.

Аналитики изучили около сотни семплов, обнаруженных в дикой природе и выяснили, что новый бот написан на Go, в коде используется китайский язык, а командная инфраструктура базируется в Китае. В ходе анализа также обнаружены самоподписанные сертификаты X.509, их число стремительно растет (в мае было 39, в августе — 93, два дня назад — 111; самый ранний сгенерирован 16 апреля).

Набор функций зловреда позволяет ему собирать информацию о среде хоста, выполнять шелл-команды, загружать дополнительные модули, в том числе криптомайнер (XMRig), проводить DDoS-атаки. В совокупности аналитики насчитали более 70 различных команд, которые подаются ботам.

Из эксплойтов, используемых Chaos для дальнейшего распространения, замечены CVE-2017-17215 (для роутеров Huawei HG532) и CVE-2022-30525 (для файрволов Zyxel). Создать DDoS-поток вредоносу помогают модули ddostf и Bill Gates; последний, видимо, был специально приобретен для встраиваемых систем на базе FreeBSD, использование которых базовый код бота не предусматривает.

Дл проведения DDoS-атаки на ботнет загружается список целей. Из техник обычно используется мультивекторный флуд (протоколы UDP и TCP/SYN на различных портах). Такие атаки зачастую продолжительны, с наращиванием мощности; Chaos также умеет по команде подменять IP-адрес источника вредоносных запросов.

За месяц наблюдений (с середины июня по середину июля) эксперты выявили сотни уникальных IP-адресов с признаками заражения. Современная популяция Chaos пока ограничена Европой, Америкой и Азиатско-Тихоокеанским регионом (в Австралии и Новой Зеландии его пока нет).

 

Последние два месяца наблюдатели фиксируют существенный рост числа C2-серверов Chaos. С апреля их количество увеличилось более чем в четыре раза.

 

Из жертв заражения в блог-записи Black Lotus упомянут сервер GitLab, расположенный в Западной Европе. В этом месяце исследователи также зарегистрировали серию DDoS-атак с ботнета; список мишеней включал представители игровой индустрии, сферы финансов, СМИ, индустрии развлечений, а также хостинг-провайдеров и один криптообменник. Ботоводы не пощадили даже своих коллег — операторов теневых сервисов «DDoS как услуга».

Появление нового вредоноса на Go еще раз подтвердило тенденцию, подмеченную ИБ-экспертами, — рост популярности кросс-платформенных языков у киберкриминала. Последние два года вирусописатели неустанно трудятся, плодя Go-зловредов — бэкдоров, ботов, шифровальщиков (Epsilon Red, eCh0raix, ранний Hive, HermeticRansom, Agenda). Знатоки Rust пока отстают, но тоже не дремлют.

Не светите ключами в соцсетях: по фото можно напечатать рабочий дубликат

Фотография с ключами в руке может оказаться не такой милой, как кажется. Специалист по кибербезопасности Эван Оттингер показал, что по обычному снимку ключа из соцсетей можно сделать рабочую копию, для этого не нужна лаборатория злодея из кино.

Оттингер — типичный ред тимер, по заказу компаний имитирует реальные атаки, проверяет защиту сетей и иногда даже физическую безопасность зданий.

По его словам, люди постоянно выкладывают фото ключей — от обычных пользователей до знаменитостей. А зря.

Если на фотографии хорошо виден профиль и нарезка ключа, их можно проанализировать, восстановить геометрию и изготовить копию. Оттингер использовал открытые инструменты для декодирования ключей, графический редактор и 3D-принтер. В итоге эксперимент сработал: пластиковый ключ, напечатанный по данным со снимка, оказался пригоден для открытия замка.

 

Сам исследователь признаёт, что сначала тоже сомневался: «Да ладно, не может же это реально работать?» Оказалось, что может. Более того, для подготовленного человека весь путь от скачанного фото до готового ключа может занять около 10-15 минут.

Главная проблема в том, что такой способ не похож на взлом в привычном смысле. В отличие от отмычек, использование копии ключа не оставляет очевидных следов на замке. Для прохожих всё выглядит нормально: человек просто открыл дверь своим ключом. Именно такие сценарии, по словам Оттингера, и заставляют специалистов по безопасности нервничать.

Ключи нужно воспринимать как пароли. Их не показывают крупным планом, не выкладывают в сторис и не держат перед камерой ради красивого поста. Если очень хочется поделиться радостью о новом доме, лучше закрыть зубцы ключа рукой, размыть их или вообще сфотографировать брелок.

Оттингер также советует не полагаться только на один замок. Камеры, сигнализация и другие уровни защиты делают дом менее удобной целью.

RSS: Новости на портале Anti-Malware.ru