По свидетельству Trend Micro, обновленный Linux-зловред AESDDoS способен не только проводить DDoS-атаки, но также загружать майнер криптовалюты на зараженное устройство. Более того, его доставка на устройства ныне осуществляется с помощью эксплойта для Confluence Server.
Критическая уязвимость в приложении для совместной работы, получившая идентификатор CVE-2019-3396, возникла из-за ошибки в коде модуля Widget Connector. Использование бреши не требует аутентификации и позволяет удаленно выполнить произвольный код в системе. Соответствующий патч был выпущен 20 марта, а через три недели в открытом доступе появился PoC-эксплойт, который злоумышленники почти сразу взяли на вооружение.
Вредоносная программа AESDDoS, известная также как Dofloo, MrBlack и Spike, появилась на интернет-арене в 2014 году. Злоумышленники неоднократно создавали на ее основе ботнеты для проведения DDoS-атак, заражая в основном маршрутизаторы.
Как выяснили исследователи, распространяемый посредством эксплойта новый вариант DDoS-бота попадает на устройство не сразу. Вначале удаленно выполняется шелл-команда на загрузку и запуск вредоносного сценария командной оболочки. Тот, в свою очередь, загружает другой шелл-скрипт, который уже устанавливает AESDDoS.
Анализ показал, что обновленный зловред владеет несколькими техниками DDoS, в том числе SYN flood, UDP flood и TCP flood. Проникнув в систему, он модифицирует файл rc.local, чтобы обеспечить свой автозапуск при перезагрузке системы. После запуска AESDDoS собирает информацию о зараженном устройстве (модель, процессор, сетевые интерфейсы, запущенные процессы), шифрует ее AES-ключом и отправляет на командный сервер. Оттуда же он получает шифрованные команды на проведение DDoS-атаки или загрузку криптомайнера.
Со случаями заражения AESDDoS из-за непропатченного Confluence Server столкнулись также эксперты Positive Technologies:
Wow! Critical #confluence CVE-2019-3396 is being exploited in the wild from 89.35.39.78 since yesterday. We have seen Dofloo DDOS botnet infection with this vuln. С2 at 23.224.59.34.
Use our #Suricata rules for the detection:https://t.co/7ZwJqcvL4yhttps://t.co/Wycb7vonWa
— Attack Detection (@AttackDetection) April 12, 2019
• Source: bleepingcomputer[.]com/news/security/vulnerable-confluence-servers-get-infected-with-ransomware-trojans/
Критическая уязвимость в приложении для совместной работы, получившая идентификатор CVE-2019-3396, возникла из-за ошибки в коде модуля Widget Connector. Использование бреши не требует аутентификации и позволяет удаленно выполнить произвольный код в системе. Соответствующий патч был выпущен 20 марта, а через три недели в открытом доступе появился PoC-эксплойт, который злоумышленники почти сразу взяли на вооружение.
Вредоносная программа AESDDoS, известная также как Dofloo, MrBlack и Spike, появилась на интернет-арене в 2014 году. Злоумышленники неоднократно создавали на ее основе ботнеты для проведения DDoS-атак, заражая в основном маршрутизаторы.
Как выяснили исследователи, распространяемый посредством эксплойта новый вариант DDoS-бота попадает на устройство не сразу. Вначале удаленно выполняется шелл-команда на загрузку и запуск вредоносного сценария командной оболочки. Тот, в свою очередь, загружает другой шелл-скрипт, который уже устанавливает AESDDoS.
Анализ показал, что обновленный зловред владеет несколькими техниками DDoS, в том числе SYN flood, UDP flood и TCP flood. Проникнув в систему, он модифицирует файл rc.local, чтобы обеспечить свой автозапуск при перезагрузке системы. После запуска AESDDoS собирает информацию о зараженном устройстве (модель, процессор, сетевые интерфейсы, запущенные процессы), шифрует ее AES-ключом и отправляет на командный сервер. Оттуда же он получает шифрованные команды на проведение DDoS-атаки или загрузку криптомайнера.
Со случаями заражения AESDDoS из-за непропатченного Confluence Server столкнулись также эксперты Positive Technologies:
Wow! Critical #confluence CVE-2019-3396 is being exploited in the wild from 89.35.39.78 since yesterday. We have seen Dofloo DDOS botnet infection with this vuln. С2 at 23.224.59.34.
Use our #Suricata rules for the detection:https://t.co/7ZwJqcvL4yhttps://t.co/Wycb7vonWa
— Attack Detection (@AttackDetection) April 12, 2019
• Source: bleepingcomputer[.]com/news/security/vulnerable-confluence-servers-get-infected-with-ransomware-trojans/