Новый ботнет-червяк, который распространяется через GitHub и Pastebin для установки майнеров криптовалюты и бэкдоров на целевые системы, вернулся с расширенными возможностями для взлома веб-приложений, IP-камер и маршрутизаторов.
В начале прошлого месяца исследователи из Juniper Threat Labs задокументировали кампанию крипто-майнинга под названием «Gitpaste-12», в которой GitHub использовался для размещения вредоносного кода, содержащего до 12 известных модулей атаки, которые выполняются с помощью команд, загруженных с URL-адреса Pastebin.
Атаки произошли в течение 12 дней, начиная с 15 октября 2020 г., до того, как 30 октября 2020 г. были закрыты как URL-адрес Pastebin, так и репозиторий.
Теперь, согласно Juniper, вторая волна атак началась 10 ноября с использованием полезной нагрузки из другого репозитория GitHub, который, среди прочего, содержит криптомайнер Linux («ls»), файл со списком паролей для грубой силы. попытки («пройти») и локальный эксплойт повышения привилегий для систем Linux x86_64.
Первоначальное заражение происходит через X10-unix, двоичный файл, написанный на языке программирования Go, который загружает полезные данные следующего этапа с GitHub.
"Червь проводит широкую серию атак, нацеленных на веб-приложения, IP-камеры, маршрутизаторы и многое другое, включая как минимум 31 известную уязвимость, семь из которых также были замечены в предыдущем примере Gitpaste-12, а также попытки взлома открытых «Соединения Android Debug Bridge и существующие бэкдоры вредоносных программ», - отметил исследователь Juniper Ашер Лэнгтон в своем анализе в понедельник.
В начале прошлого месяца исследователи из Juniper Threat Labs задокументировали кампанию крипто-майнинга под названием «Gitpaste-12», в которой GitHub использовался для размещения вредоносного кода, содержащего до 12 известных модулей атаки, которые выполняются с помощью команд, загруженных с URL-адреса Pastebin.
Атаки произошли в течение 12 дней, начиная с 15 октября 2020 г., до того, как 30 октября 2020 г. были закрыты как URL-адрес Pastebin, так и репозиторий.
Теперь, согласно Juniper, вторая волна атак началась 10 ноября с использованием полезной нагрузки из другого репозитория GitHub, который, среди прочего, содержит криптомайнер Linux («ls»), файл со списком паролей для грубой силы. попытки («пройти») и локальный эксплойт повышения привилегий для систем Linux x86_64.
Первоначальное заражение происходит через X10-unix, двоичный файл, написанный на языке программирования Go, который загружает полезные данные следующего этапа с GitHub.
"Червь проводит широкую серию атак, нацеленных на веб-приложения, IP-камеры, маршрутизаторы и многое другое, включая как минимум 31 известную уязвимость, семь из которых также были замечены в предыдущем примере Gitpaste-12, а также попытки взлома открытых «Соединения Android Debug Bridge и существующие бэкдоры вредоносных программ», - отметил исследователь Juniper Ашер Лэнгтон в своем анализе в понедельник.