Ботнет Цунами в компании XMRig пробирается через SSH на Linux-серверы

Ботнет Цунами в компании XMRig пробирается через SSH на Linux-серверы

Ботнет Цунами в компании XMRig пробирается через SSH на Linux-серверы

Неизвестный киберпреступник (или группировка) брутфорсит SSH-серверы Linux с целью установить ряд вредоносных программ вроде DDoS-ботнетов Tsunami и ShellBot, а также инструменты для повышения прав, чистки логов и даже майнер Monero XMRig.

На атаки «Цунами» обратили внимание специалисты AhnLab Security Emergency Response Center (ASEC). Кто бы ни стоял за этой компанией, его задача — запускать DDoS-атаки и майнить криптовалюту.

Злоумышленник сканирует Сеть, пытаясь найти открытые SSH-серверы Linux, после чего брутфорсит имя пользователя и пароль. Используются следующие комбинации учётных данных:

 

После получения административного доступа атакующий запускает команду для выполнения ряда вредоносных программ:

 

Команда ASEC также выяснила, что киберпреступник генерирует новую пару открытых и закрытых ключей SSH, чтобы максимально закрепиться на сервере даже при смене пароля. Далее в систему загружаются ботнеты, криптомайнеры и другие вредоносные инструменты.

Одним из таких является ShellBot, написанный на Perl. Этот бот использует протокол IRC для связи. Он может сканировать порты UDP и TCP, а также проводить HTTP-флуд. Другой ботнет — Tsunami — тоже использует IRC, но при этом записывает себя в /etc/rc.local, чтобы запускаться после перезагрузки. Для сокрытия «Цунами» использует имя системного процесса.

Стоит упомянуть инструменты MIG Logcleaner v2.0 и Shadow Log Cleaner, которые тоже попадают в целевую систему. А завершает картину заражения вредоносный майнер XMRig.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Вишинг-атака помогла похитить данные клиентов Cisco

Как сообщила Cisco, злоумышленник смог обманом получить доступ к данным пользователей Cisco.com. Всё произошло после фишингового звонка (так называемый «вишинг» — когда атакуют через голосовую связь), во время которого киберпреступник притворился сотрудником и убедил представителя Cisco выдать ему доступ.

Инцидент обнаружили 24 июля. Киберпреступник получил и выгрузил часть данных из облачной CRM-системы, с которой Cisco работает через стороннего подрядчика.

Утекла базовая информация о клиентах: имена, названия компаний, адреса, имейлы, телефоны, ID пользователей, а также технические детали вроде даты создания аккаунта.

Сколько всего пользователей пострадало — в Cisco не говорят. Представитель компании отказался уточнить масштабы утечки.

Судя по всему, это не первый случай взлома через такие CRM-платформы. Ранее сообщалось о похожих инцидентах у Allianz Life, Tiffany & Co., Qantas и других компаний, данные которых хранились в системах Salesforce. Известно, что Cisco тоже является клиентом Salesforce.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru