Abcbot — новий ботнет, націлений на Linux
Перша версія вредоноса датується липнем 2021 року, але 30 жовтня були помічені його нові різновиди, заточені під атаки на слабозащіщенние сервери Linux з вразливістю нульового дня. Все це говорить про те, що шкідливий постійно вдосконалюється.
В основу висновків Netlab також ліг звіт Trend Micro від початку вересня, в якому описувалися атаки з використанням криптоджекинга, націлені на Huawei Cloud. Ці вторгнення, крім іншого, виділилися тим, що вірусні скрипти оболонки, зокрема відключали процес моніторингу і сканування серверів на проблеми безпеки, а також скидали паролі користувачів від сервісу Elastic Cloud.
Тепер, як повідомляє китайська компанія Qihoo 360, ці скрипти використовуються для поширення Abcbot. Всього на сьогодні було зафіксовано шість версій цього ботнета.
Після установки на захоплену систему шкідливий запускає виконання серії кроків, в результаті яких заражене пристрій змінюється в веб-сервер. Далі, крім передачі системної інформації C&C-сервера, відбувається поширення вірусу на інші пристрої шляхом сканування відкритих портів. При цьому він також автоматично оновлюється, коли оператори вносять доопрацювання.
«Цікаво відзначити, що в зразку, оновленому 21 жовтня, для реалізації DDoS-функціоналу використовується відкритий ATK Rootkit. Такий механізм передбачає, що перед виконанням DDoS-атаки Abcbot потрібно завантажити вихідний код, скомпілювати його і завантажити відповідний набір утиліт», — говорять дослідники. «Цей процес вимагає занадто багато кроків, і при провалі будь-якого з них функціональність DDoS не спрацює. В результаті зловмисники вирішили замінити готове програмне рішення на власний модуль атаки в черговий версії, яку випустили 30 жовтня, вже повністю відмовившись від використання ATK пакета».
Вся ця інформація з'ясувалася трохи більше, ніж через тиждень після оприлюднення командою Netlab подробиць про ботнети "Pink". Повідомляється, що ця мережа захопила 1.6 мільйона пристроїв, більшість з яких перебували в Китаї, з метою проведення DDoS-атак і впровадження реклами на сайти, що працюють через протокол HTTP.
У паралельному дослідженні фахівці з AT&T Alien Labs розкрили інформацію про нову написаної на Go малварі "BotenaGo", яка використовує більше 30 варіантів експлойтів, потенційно погрожуючи мільйонам маршрутизаторів і IoT-пристроїв.
«Наблюдаемый в течение этих шести месяцев процесс обновления Abcbot– это не столько постоянный апгрейд его возможностей, сколько поиск компромисса между различными технологиями», — сделали вывод исследователи. – «Он плавно переходит из младенческого состояния во взрослое. Текущую его стадию мы еще не рассматриваем как финальную форму, так как остается много очевидных возможностей для улучшения и расширения функционала».
В основу висновків Netlab також ліг звіт Trend Micro від початку вересня, в якому описувалися атаки з використанням криптоджекинга, націлені на Huawei Cloud. Ці вторгнення, крім іншого, виділилися тим, що вірусні скрипти оболонки, зокрема відключали процес моніторингу і сканування серверів на проблеми безпеки, а також скидали паролі користувачів від сервісу Elastic Cloud.
Тепер, як повідомляє китайська компанія Qihoo 360, ці скрипти використовуються для поширення Abcbot. Всього на сьогодні було зафіксовано шість версій цього ботнета.
Після установки на захоплену систему шкідливий запускає виконання серії кроків, в результаті яких заражене пристрій змінюється в веб-сервер. Далі, крім передачі системної інформації C&C-сервера, відбувається поширення вірусу на інші пристрої шляхом сканування відкритих портів. При цьому він також автоматично оновлюється, коли оператори вносять доопрацювання.
«Цікаво відзначити, що в зразку, оновленому 21 жовтня, для реалізації DDoS-функціоналу використовується відкритий ATK Rootkit. Такий механізм передбачає, що перед виконанням DDoS-атаки Abcbot потрібно завантажити вихідний код, скомпілювати його і завантажити відповідний набір утиліт», — говорять дослідники. «Цей процес вимагає занадто багато кроків, і при провалі будь-якого з них функціональність DDoS не спрацює. В результаті зловмисники вирішили замінити готове програмне рішення на власний модуль атаки в черговий версії, яку випустили 30 жовтня, вже повністю відмовившись від використання ATK пакета».
Вся ця інформація з'ясувалася трохи більше, ніж через тиждень після оприлюднення командою Netlab подробиць про ботнети "Pink". Повідомляється, що ця мережа захопила 1.6 мільйона пристроїв, більшість з яких перебували в Китаї, з метою проведення DDoS-атак і впровадження реклами на сайти, що працюють через протокол HTTP.
У паралельному дослідженні фахівці з AT&T Alien Labs розкрили інформацію про нову написаної на Go малварі "BotenaGo", яка використовує більше 30 варіантів експлойтів, потенційно погрожуючи мільйонам маршрутизаторів і IoT-пристроїв.
«Наблюдаемый в течение этих шести месяцев процесс обновления Abcbot– это не столько постоянный апгрейд его возможностей, сколько поиск компромисса между различными технологиями», — сделали вывод исследователи. – «Он плавно переходит из младенческого состояния во взрослое. Текущую его стадию мы еще не рассматриваем как финальную форму, так как остается много очевидных возможностей для улучшения и расширения функционала».
- Мережа FTTH: Застосування GEPON Outdoor Reserve POE ONUЩоб задовольнити потреби розвитку широкосмугового зв'язку, в даний час багато оператори воліють розгортання волоконно-оптичних мереж замість кабельних.Повна версія статті