Атаки към Линукс системи доставят копач на Monero
Специалисти от F5 Networks сигнализираха за регистрирани офанзиви към Линукс системи. Атакуващата страна провежда компютри в ботнет и по-късно употребява мрежата от зомбирани устройства, с цел да копаят криптовалута и по-точно Монеро. Атаките се популяризират чрез SSH протокола.
PyCryptoMiner, каквото е името на ботнета се базира на Python и създателите ловко прикриват наличието му. Ботнетът сканира Интернет и търси Линукс машини с лесни за отгатване SSH кредитиви. Открил такива, ботнетът доставя към системата кодиран в base64 Python скрипт, който се свързва с команден сървър и смъква и извършва в допълнение код. Ако той не е наличен все още, тогава се насочва към Pastebin в търсене на указания. За разлика от други сходни акции, изясняват експертите, тук атакуващата страна употребява като основа за издаваните команди известни услуги, като Dropbox и Pastebin, които не могат по този начин елементарно да бъдат неразрешени. Псевдонимът в Pastebin на създателя на офанзивите е WHATHAPPEN, а другото онлайн име, с което бива обвързван е Xinqian Rhys, предава ZDNet.
След като се откри на системата, PyCryptoMiner смъква контролния модул и той бива регистриран като задача за осъществяване при старт на системата, което подсигурява непрекъснатото му наличие. Освен това, ботнетът събира информация за системата и я праща към контролния сървър за последващи указания. До декември предходната година, въпросната мрежа от зомбирани системи е докарала немалка облага на разпространителя ѝ: към $46 000.
F5 означават, че ботнетът непрекъснато бива развиван. Последната добавка към него е да търси уязвими на CVE-2017-12149 JBoss сървъри. Става дума за проблем, обвързван с десериализацията на дани в Red Hat Enterprise Application Platform 5.2, оголен преди няколко месеца.
В момента ботнетът е неактивен, само че от F5 не изключват той да се задейства отначало.
PyCryptoMiner, каквото е името на ботнета се базира на Python и създателите ловко прикриват наличието му. Ботнетът сканира Интернет и търси Линукс машини с лесни за отгатване SSH кредитиви. Открил такива, ботнетът доставя към системата кодиран в base64 Python скрипт, който се свързва с команден сървър и смъква и извършва в допълнение код. Ако той не е наличен все още, тогава се насочва към Pastebin в търсене на указания. За разлика от други сходни акции, изясняват експертите, тук атакуващата страна употребява като основа за издаваните команди известни услуги, като Dropbox и Pastebin, които не могат по този начин елементарно да бъдат неразрешени. Псевдонимът в Pastebin на създателя на офанзивите е WHATHAPPEN, а другото онлайн име, с което бива обвързван е Xinqian Rhys, предава ZDNet.
След като се откри на системата, PyCryptoMiner смъква контролния модул и той бива регистриран като задача за осъществяване при старт на системата, което подсигурява непрекъснатото му наличие. Освен това, ботнетът събира информация за системата и я праща към контролния сървър за последващи указания. До декември предходната година, въпросната мрежа от зомбирани системи е докарала немалка облага на разпространителя ѝ: към $46 000.
F5 означават, че ботнетът непрекъснато бива развиван. Последната добавка към него е да търси уязвими на CVE-2017-12149 JBoss сървъри. Става дума за проблем, обвързван с десериализацията на дани в Red Hat Enterprise Application Platform 5.2, оголен преди няколко месеца.
В момента ботнетът е неактивен, само че от F5 не изключват той да се задейства отначало.
Източник: kaldata.com
КОМЕНТАРИ