Румынская группировка Outlaw, создавшая ботнет на основе IoT-устройств и Linux-серверов, теперь использует его не только для DDoS-атак, но и для майнинга Monero, а также поиска уязвимых к брутфорс-атакам хостов.
Это стало возможно благодаря добавлению двух разновидностей ботов, один из которых предназначен для криптоджекинга и сканирования по SHH, другой позволяет подбирать учетные данные и подключаться к открытым портам по RDP-протоколу и эксплуатировать уязвимости облачного сервиса cPanel.
Изначально в качестве центров управления злоумышленники использовали сервера Японского художественного института и сайта правительства Бангладеш. Ботнет строился с использованием сценария Shellbot, написанного на языке Perl, и контролировался при помощи IRC-команд. Его можно было использовать для скачивания файлов, поиска открытых портов или для DDoS-атак.
Чтобы увеличить количество зараженных устройств, они используют вредоносный инструмент под названием haiduc. С его помощью производится поиск систем с уязвимостью CVE-2017-1000117 в функции Git и последующий парсинг данных через файл .gitmodules, что позволяет внедрить сторонний код.
После взлома хоста, на него автоматически загружается одна из версий скрипта min.sh. Первый вариант устанавливает майнер Monero и начинает добывать криптовалюту, используя для этого двоичный файл, способный работать на Linux и Android. При этом, если в системе уже установлен криптоджекер, бот пресекает все связанные с этим процессы перед тем, как начать деятельность.
Другая версия бота ищет открытые RDP-порты и уязвимые платформы cPanel. Главная задача этого зловреда — передать злоумышленникам сведения о небезопасных хостах, которые можно использовать для расширения зомби-сети. Получив данные, преступники компрометируют систему через брутфорс и повышают свои привилегии для дальнейшей атаки.
По данным исследователей Trend Micro, чтобы избавиться от недостатков управления через IRC, злоумышленники переключились на PHP. Группировка пользуется хорошо известными инструментами взлома, которые доступны даже пользователям с ограниченным опытом.
Кроме того, Outlaw успешно охотится на новые цели. В частности, исследователи обнаружили более 180 тыс. уже взломанных систем и 20 тыс. только что скомпрометированных хостов, включая IoT-устройства, сайты, облачные виртуальные выделенные серверы (VPS) и серверы Windows по всему миру. Эксперты предупреждают, что смартфоны на базе Android тоже могут оказаться под ударом.
Это стало возможно благодаря добавлению двух разновидностей ботов, один из которых предназначен для криптоджекинга и сканирования по SHH, другой позволяет подбирать учетные данные и подключаться к открытым портам по RDP-протоколу и эксплуатировать уязвимости облачного сервиса cPanel.
Изначально в качестве центров управления злоумышленники использовали сервера Японского художественного института и сайта правительства Бангладеш. Ботнет строился с использованием сценария Shellbot, написанного на языке Perl, и контролировался при помощи IRC-команд. Его можно было использовать для скачивания файлов, поиска открытых портов или для DDoS-атак.
Чтобы увеличить количество зараженных устройств, они используют вредоносный инструмент под названием haiduc. С его помощью производится поиск систем с уязвимостью CVE-2017-1000117 в функции Git и последующий парсинг данных через файл .gitmodules, что позволяет внедрить сторонний код.
После взлома хоста, на него автоматически загружается одна из версий скрипта min.sh. Первый вариант устанавливает майнер Monero и начинает добывать криптовалюту, используя для этого двоичный файл, способный работать на Linux и Android. При этом, если в системе уже установлен криптоджекер, бот пресекает все связанные с этим процессы перед тем, как начать деятельность.
Другая версия бота ищет открытые RDP-порты и уязвимые платформы cPanel. Главная задача этого зловреда — передать злоумышленникам сведения о небезопасных хостах, которые можно использовать для расширения зомби-сети. Получив данные, преступники компрометируют систему через брутфорс и повышают свои привилегии для дальнейшей атаки.
По данным исследователей Trend Micro, чтобы избавиться от недостатков управления через IRC, злоумышленники переключились на PHP. Группировка пользуется хорошо известными инструментами взлома, которые доступны даже пользователям с ограниченным опытом.
Кроме того, Outlaw успешно охотится на новые цели. В частности, исследователи обнаружили более 180 тыс. уже взломанных систем и 20 тыс. только что скомпрометированных хостов, включая IoT-устройства, сайты, облачные виртуальные выделенные серверы (VPS) и серверы Windows по всему миру. Эксперты предупреждают, что смартфоны на базе Android тоже могут оказаться под ударом.