Снимка на Тейлър Суифт крие неприятна изненада
Операторът на известен ботнет, доставящ криптоминьор, крие кода на програмата в изображение на известна поп-певица, сигнализират от английската компания за осведомителна сигурност и интернет отбрана Sophos.
Въпросният ботнет, прочут най-много с името си MyKings (но също по този начин и DarkCloud и Smominru) употребява фотографията на Тейлър Суифт, с цел да нападна Windows сървъри. Хакерите зад MyKings се пробват да компрометират тези сървъри, атакувайки едва предпазени или неправилно конфигурирани услуги, като MySQL, MS-SQL, Telnet, ssh, IPC, WMI и Remote Desktop. Веднъж проникнали в тях, те доставят криптоминьор, а по-късно се пробват да се разпространят и в прилежащи системи, организирайки ги в обща зомби ботнет войска, която копае крипто.
Проучването на Sophos показва, че те са записали до момента появяването на 43 900 неповторими IP адреса, свързани с MyKings. Основната част от тези адреси идват от Китай, Русия, Тайван, Бразилия, Съединени американски щати, Индия и Япония. Самите ботнети, копаещи криптовалути са изключително известни през актуалната година, а MyKings съответно е опасност засечена за пръв път през 2017. Това, което обаче е удивително в тези офанзиви е точно потреблението на изображението за скриване на зловредния код.
След като открие уязвимост, чрез която може да проникне в сървъра, групата зад MyKings се подсигурява, че няма конкуренция в лицето на други зловредни стратегии и разчиства пътя си за офанзива, като стопира услуги, свързани с набор от предпазен програмен продукт в особено направен лист. След това програмата обезпечава трайното си наличие в системата, продължавайки в същите стъпки и към идващите си жертви. Дизайнът на цялата процедура е по този начин направен от създателите на MyKings, че дори засичането му може да се окаже неефективно избавление, в случай че той не бъде измит изцяло, защото дори и някой съставен елемент да остане в системата, зловредната стратегия се обновява и регенерира изцяло.
Конкретно изображението на Тейлър Суифт в тази ситуация е качено в обществено вместилище и крие указания за обновлението на зловредната стратегия. MyKings употребява необятен боеприпас от експлойти за към този момент известни уязвимости. И в случай че името му ви е познато, то най-вероятно го помните от вест от предходната година, когато Proofpoint сигнализира за серия от офанзиви, в която над половин милион компютри бяха вкарани в ботнет за да копаят Monero. В нея бяха употребявани и експлойти, взети от инструментариума на Shadow Brokers, същата формация, отмъкнала кибероръжия на Агенцията за национална сигурност на Съединени американски щати.
Sophos оповестяват, че и в актуалната акция цел е била доставянето на копач на Monero. Що се отнася до виталния цикъл на MyKings от регистрирането му до момента, групата зад него е спечелила близо три милиона $. В актуалната офанзива, хакерите припечелват едвам по към $300 на ден, което както показват от Sophos, се дължи най-много на ниския курс на Monero сега.
Въпросният ботнет, прочут най-много с името си MyKings (но също по този начин и DarkCloud и Smominru) употребява фотографията на Тейлър Суифт, с цел да нападна Windows сървъри. Хакерите зад MyKings се пробват да компрометират тези сървъри, атакувайки едва предпазени или неправилно конфигурирани услуги, като MySQL, MS-SQL, Telnet, ssh, IPC, WMI и Remote Desktop. Веднъж проникнали в тях, те доставят криптоминьор, а по-късно се пробват да се разпространят и в прилежащи системи, организирайки ги в обща зомби ботнет войска, която копае крипто.
Проучването на Sophos показва, че те са записали до момента появяването на 43 900 неповторими IP адреса, свързани с MyKings. Основната част от тези адреси идват от Китай, Русия, Тайван, Бразилия, Съединени американски щати, Индия и Япония. Самите ботнети, копаещи криптовалути са изключително известни през актуалната година, а MyKings съответно е опасност засечена за пръв път през 2017. Това, което обаче е удивително в тези офанзиви е точно потреблението на изображението за скриване на зловредния код.
След като открие уязвимост, чрез която може да проникне в сървъра, групата зад MyKings се подсигурява, че няма конкуренция в лицето на други зловредни стратегии и разчиства пътя си за офанзива, като стопира услуги, свързани с набор от предпазен програмен продукт в особено направен лист. След това програмата обезпечава трайното си наличие в системата, продължавайки в същите стъпки и към идващите си жертви. Дизайнът на цялата процедура е по този начин направен от създателите на MyKings, че дори засичането му може да се окаже неефективно избавление, в случай че той не бъде измит изцяло, защото дори и някой съставен елемент да остане в системата, зловредната стратегия се обновява и регенерира изцяло.
Конкретно изображението на Тейлър Суифт в тази ситуация е качено в обществено вместилище и крие указания за обновлението на зловредната стратегия. MyKings употребява необятен боеприпас от експлойти за към този момент известни уязвимости. И в случай че името му ви е познато, то най-вероятно го помните от вест от предходната година, когато Proofpoint сигнализира за серия от офанзиви, в която над половин милион компютри бяха вкарани в ботнет за да копаят Monero. В нея бяха употребявани и експлойти, взети от инструментариума на Shadow Brokers, същата формация, отмъкнала кибероръжия на Агенцията за национална сигурност на Съединени американски щати.
Sophos оповестяват, че и в актуалната акция цел е била доставянето на копач на Monero. Що се отнася до виталния цикъл на MyKings от регистрирането му до момента, групата зад него е спечелила близо три милиона $. В актуалната офанзива, хакерите припечелват едвам по към $300 на ден, което както показват от Sophos, се дължи най-много на ниския курс на Monero сега.
Източник: kaldata.com
КОМЕНТАРИ