Исследователи из Netlab обнаружили сайт, предлагающий бесплатные и коммерческие прокси-серверы, использующие огромный ботнет (Ngioweb) взломанных сайтов WordPress.
Исследователи из Netlab обнаружили, что прокси-сервис Free-Socks.in использует огромный ботнет взломанных сайтов WordPress.
По словам экспертов, трафик, управляемый прокси-сервером, направляется через сеть взломанных сайтов WordPress.
Актеры угроз скомпрометировали сайты WordPress с крайне скрытыми веб-оболочками и Linux,Вредоносная программа Ngioweb , реализующая прокси-агент.
Исследованный вариант - это портирование Linux вредоносного ПО Win32.Ngioweb, которое впервые было обнаружено в дикой природе в августе 2018 года экспертами Check Point.
«Мы определили, что это прокси-ботнет, и это вариант версии вредоносного ПО Win32.Ngioweb для Linux. Мы назвали это Linux.Ngioweb. Он разделяет много кода с Win32.Ngioweb, за исключением того, что он имеет функции DGA », - говорится в анализеNetlab.
«Кроме того, мы наблюдали, что вредоносное ПО Linux.Ngioweb было внедрено в большое количество веб-серверов WordPress».
Эксперты зарегистрировали одно из доменных имен DGA C2 (enutofish-pronadimoful-multihitision[,]org) для анализа трафика, генерируемого ботом.
Пример бота Linux.Ngioweb реализует Back-Connect Proxy на компьютере жертвы.
«Злоумышленник встраивает несколько ботов в пул прокси-серверов и управляет им с помощью двухуровневого протокола C2, а затем предоставляет вращающуюся прокси-службу». - продолжает анализ.
Первая стадия (Этап-1) управляет всеми зараженными сайтами, а вторая (Этап-2) устанавливает серверы C & C. На этапе 2 бот устанавливает связь с C2 этапа 2 и включает функцию прокси-соединения Back-Connect. Командный и управляющий серверы этапа-2 задаются командой CONNECT.
Sinkholing Эксперты домена C2 наблюдали за соединениями с 2692 скомпрометированных сайтов WordPress, большинство из которых расположены в США.
Netlab планирует поделиться списком зараженных серверов с другими охранными фирмами и правоохранительными органами.
Источник
Исследователи из Netlab обнаружили, что прокси-сервис Free-Socks.in использует огромный ботнет взломанных сайтов WordPress.
По словам экспертов, трафик, управляемый прокси-сервером, направляется через сеть взломанных сайтов WordPress.
Актеры угроз скомпрометировали сайты WordPress с крайне скрытыми веб-оболочками и Linux,Вредоносная программа Ngioweb , реализующая прокси-агент.
Исследованный вариант - это портирование Linux вредоносного ПО Win32.Ngioweb, которое впервые было обнаружено в дикой природе в августе 2018 года экспертами Check Point.
«Мы определили, что это прокси-ботнет, и это вариант версии вредоносного ПО Win32.Ngioweb для Linux. Мы назвали это Linux.Ngioweb. Он разделяет много кода с Win32.Ngioweb, за исключением того, что он имеет функции DGA », - говорится в анализеNetlab.
«Кроме того, мы наблюдали, что вредоносное ПО Linux.Ngioweb было внедрено в большое количество веб-серверов WordPress».
Эксперты зарегистрировали одно из доменных имен DGA C2 (enutofish-pronadimoful-multihitision[,]org) для анализа трафика, генерируемого ботом.
Пример бота Linux.Ngioweb реализует Back-Connect Proxy на компьютере жертвы.
«Злоумышленник встраивает несколько ботов в пул прокси-серверов и управляет им с помощью двухуровневого протокола C2, а затем предоставляет вращающуюся прокси-службу». - продолжает анализ.
Первая стадия (Этап-1) управляет всеми зараженными сайтами, а вторая (Этап-2) устанавливает серверы C & C. На этапе 2 бот устанавливает связь с C2 этапа 2 и включает функцию прокси-соединения Back-Connect. Командный и управляющий серверы этапа-2 задаются командой CONNECT.
Sinkholing Эксперты домена C2 наблюдали за соединениями с 2692 скомпрометированных сайтов WordPress, большинство из которых расположены в США.
Netlab планирует поделиться списком зараженных серверов с другими охранными фирмами и правоохранительными органами.
Источник
