Атаки към Линукс системи доставят копач на Monero

16
127

Специалисти от F5 Networks алармираха за регистрирани атаки към Линукс системи. Атакуващата страна организира компютри в ботнет и след това използва мрежата от зомбирани устройства, за да копаят криптовалута и по-точно Монеро. Атаките се разпространяват посредством SSH протокола.

PyCryptoMiner, каквото е името на ботнета се базира на Python и авторите умело прикриват присъствието му. Ботнетът сканира Интернет и търси Линукс машини с лесни за отгатване SSH кредитиви. Открил такива, ботнетът доставя към системата кодиран в base64 Python скрипт, който се свързва с команден сървър и сваля и изпълнява допълнително код. Ако той не е достъпен към момента, тогава се отправя към Pastebin в търсене на инструкции. За разлика от други подобни кампании, обясняват специалистите, тук атакуващата страна използва като основа за издаваните команди популярни услуги, като Dropbox и Pastebin, които не могат така лесно да бъдат забранени. Псевдонимът в Pastebin на автора на атаките е WHATHAPPEN, а другото онлайн име, с което бива свързан е Xinqian Rhys, предава ZDNet.

След като се установи на системата, PyCryptoMiner сваля контролния модул и той бива регистриран като задача за изпълнение при старт на системата, което гарантира постоянното му присъствие. Освен това, ботнетът събира информация за системата и я праща към контролния сървър за следващи инструкции. До декември миналата година, въпросната мрежа от зомбирани системи е докарала немалка печалба на разпространителя ѝ: около $46 000.

F5 отбелязват, че ботнетът постоянно бива развиван. Последната добавка към него е да търси уязвими на CVE-2017-12149 JBoss сървъри. Става дума за проблем, свързан с десериализацията на дани в Red Hat Enterprise Application Platform 5.2, разкрит преди няколко месеца.

В момента ботнетът е неактивен, но от F5 не изключват той да се активира наново.

0 0 глас
Оценете статията
Абонирай се
Извести ме за
guest
16 Коментара
стари
нови оценка
Отзиви
Всички коментари