Ботнет уже более года занимается каннибализацией веб-оболочек других хакеров.

Ботнет Neutrino захватывает серверы, захватывая PHP и Java-оболочки других хакеров.

Каталин Чимпану за нулевой день | 21 августа 2019 г. 22:39 GMT (15:39 PDT) | Тема: Безопасность

Исследователи безопасности из Positive Technologies сегодня показали, что одной из основных операций ботнета является атака и захват веб-оболочек (бэкдоров на веб-серверах) других вредоносных операций более года.

Смотрите также

Исследователи связали ботнет с бывшим трояном Windows по имени Neutrino (также известным как Kasidet), операторы которого, похоже, переключились с таргетинга на пользователей настольных компьютеров на онлайн-серверы, на которых они устанавливают вредоносное ПО для майнинга криптовалюты.

Позитивные технологии заявили, что этот новый этап деятельности банды Neutrino начался в начале 2018 года, когда группа собрала многофункциональный ботнет, который сканировал случайные IP-адреса в Интернете, ища определенные веб-приложения и серверы для заражения.

Чтобы взломать другие серверы, ботнет Neutrino использовал различные методы, такие как использование эксплойтов для старых и новых уязвимостей, поиск серверов phpMyAdmin, оставшихся без пароля, а также грубое проникновение в корневые учетные записи phpMyAdmin, Tomcat и MS- SQL системы.

В этом modus operandi нет ничего особенно нового или интересного, поскольку к этому моменту именно так работает большинство ботнетов в настоящее время.

Веб-снаряды конкурентов "грубой силы" Neutrino

Тем не менее, исследователи в области безопасности говорят, что они также заметили, что Нейтрино делает странные вещи, чего не было во многих других бот-сетях. Например, Neutrino ищет узлы Ethereum, которые были запущены с паролями по умолчанию, подключается к этим системам и крадет любые локально хранящиеся средства.

Но то, что отличало Neutrino от большинства других криптоминирующих ботнетов, действующих сегодня, было то, что он сосредоточился на взломе веб-оболочек.

Веб-оболочки — это доступные через Интернет бэкдор-скрипты, которые хакеры внедряют на серверах, которые им удается взломать.

Веб-оболочки имеют веб-интерфейс, к которому хакеры могут подключаться и выполнять команды через свой браузер, или программный интерфейс, на который они отправляют автоматические инструкции.

Согласно Positive Technologies, компания Neutrino искала в Интернете 159 различных типов веб-оболочек PHP и две JSP (Java Server Pages).

Ботнет составляет список веб-оболочек, а затем запускает атаки методом грубой силы, пытаясь также угадать учетные данные входа веб-оболочек и захватить оболочки и соответствующие веб-серверы.

Ботнет уже более года занимается каннибализацией веб-оболочек других хакеров.

Операторы ботнетов часто конкурируют друг с другом, но большую часть времени они заражают устройства и используют антивирусную систему, чтобы держать конкурентов в страхе и заразить одно и то же устройство.

Это довольно редко, когда вы видите, как один ботнет каннибализирует зараженные хосты другого вредоносного ботнета.

Очень шумный ботнет

Что касается успеха Neutrino, Positive Technologies заявила, что ботнет входит в тройку лучших отправителей запросов на свои приманки.

По результатам расследования компании, ботнет успешно заразил серверы Windows, на которых работает phpStudy, интегрированная среда обучения, популярная в основном среди китайских разработчиков.

Однако были скомпрометированы и другие типы серверов, например, те, на которых запущены приложения phpMyAdmin.

«Чтобы защитить серверы от заражения Neutrino, мы рекомендуем администраторам проверять пароль для учетной записи root в phpMyAdmin», — сказал Кирилл Шипулин, исследователь безопасности в Positive Technologies. «Обязательно исправляйте сервисы и устанавливайте последние обновления. Помните, что Neutrino регулярно обновляется новыми эксплойтами».