fbpx
13.6 C
София

Linux/Cdorked продължава да вилнее

Най-четени

Методи Дамянов
Методи Дамяновhttps://www.kaldata.com/
В "Калдата" от 2012г. насам. С интереси в сферата на информационната и интернет сигурност, дисруптивните технологии (IoT, AI, облак), видеоигрите с душа и послание и интернет свободата. Фен на Кен Ливайн, Ричард Столман и Джон Пери Барлоу.

Изглежда, че кампанията на Linux/Cdorked продължава с пълна сила. И специалистите по компютърна безопасност, така и не могат да разберат кой е източникът на атаката.
Това става ясно от последното разкритие на специалистите от компанията за компютърна сигурност ESET.
Миналата седмица ви информирахме за съвместният анализ на словашката компания и Succuri и разкритията им за дейсността на бекдор програмата, която заразява масово Apache сървъри.

И специалистите от ESET отбелязват развитие на зловредната дейност на Linux/Cdorked и то не е в положителна насока. Изглежда, че бекдорът вече компрометира Lighttpd и Nginx Web сървъри – платформи, които се ползват широко в интернет пространството.

Марк Етиен М. Левей (Marc-Etienne M. Leveille) споделя, че ESET са открили вече 400 заразени уеб сървъра дотук (публикацията е от вчера). „Ние все още не знаем как малуер програмата е била интегрирана в сървърите“, заявява Левей. „Едно нещо е сигурно обаче: програмата не се разпространява от само себе си и не ползва уязвимост в конкретен софтуер, за да го направи“.
Предполага се, че Linux/Cdorked е активен поне от декември миналата година. Той пренасочва своите жертви към компрометирани уебсайтове, които свързват атакуваната страна с комплекта за експлоатиране на уязвимости Blackhole. Пренасочването се осъществява само, ако потребителят е посетил въпросната страница с браузър Internet Explorer или Firefox и е под операционна система Microsoft XP, Vista или 7. Интересното е, че потребителите на iPad или iPhone също не са застраховани, като те обаче биват пренасочвани към порно сайтове.

Притеснителното в случая е, че ползвайки данни от засечените заплахи от потребителската общност на ESET, специалистите са установили, че близо 100 000 от техните клиенти са се натъкнали на Linux/Cdorked досега.

Поведението на домейните, към които са пренасочвани жертвите на бекдора предполага също така, че киберпрестъпниците са компрометирали също така и няколко DNS сървъра.
Другото интересно нещо, което регистрират специалистите от ESET е, че ако интернет потребител, който посещава въпросната компрометирана уебстраница с японско, финландско, руско, украинско, казахско или беларуско IP или просто настройките на браузъра му са пригодени да ползват един от въпросните езици, той не бива пренасочван към зловредно съдържание.
Linux/Cdorked се прикрива добре от антивирусните радари, но не е съвършен. Той оставя httpd бинарен файл на твърдия диск, който би могъл да бъде засечен от антималуер скенерите. Лошото е, че командите, които изпращат създателите на Linux/Cdorked не биват регистрирани в обикновените логове на Apache, а самото пренасочване към зловредното съдържание се осъществява в паметта на системата, а не чрез твърдия диск.
За администраторите, които се страхуват, че може да са паднали жертва на бекдор програмата, ESET, публикува специален инструмент, с който може да проверят за наличието на Linux/Cdorked.A.
Публикацията на ESET, тук.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

0 Коментара
Отзиви
Всички коментари

Нови ревюта

Подобни новини