Ботнет Neutrino питается хакерами и закусывает серверами

Опубликовано at 22.08.2019
97 0

Интересная эволюция цифрового хищника: специалисты Positive Technologies рассказали, что операторы Neutrino сменили тактику и уже больше года атакуют веб-шеллы других хакеров и заражают не простых пользователей, а серверы. Правильно, зачем размениваться на планктон?

Вредонос известен аналитикам довольно давно, а наблюдаемый сейчас очередной его виток развития малвари, превратившейся в ботнет, начался в 2018 году. Ранее Neutrino просто распространялся через почтовые вложения и наборы эксплоитов, теперь же он функционирует в качестве полноценного ботнета.

Новообразованный ботнет эффективно сканирует сеть, ищет различные веб-приложения и серверы, брутфорсит административные панели, занимается перебором шеллов и эксплуатацией уязвимостей. Цели его неясны, возможно, это майнинг, но такие мощности теоретически можно направить на все, что угодно.

PT отмечают, что ботнет Neutrino имеет четкую организационную структуру: пока одни зараженные хосты заняты майнингом криптовалюты и сканируют интернет, другие служат прокси-серверами. В плане выбора способов взлома ботнет не гнушается никакими отмычками: он использует самые разные методы, от применения эксплоитов для старых и новых уязвимостей, до обнаружения серверов phpMyAdmin, оставленных без пароля, и брутфорса root-аккаунтов phpMyAdmin, Tomcat и MS-SQL.

Список взломанных Neutrino веб-шеллов включал в себя 159 адресов с уникальными параметрами (PHP иJSP-шеллы), малварь пыталась, по сути, брутфорсить шеллы «конкурентов». При этом в целом Neutrino ведет себя осторожно: исполняет код из памяти, использует многоступенчатую проверку шелла перед исполнением кода, а также размещает управляющие серверы на самих зараженных серверах. Фактически обнаружить его присутствие возможно лишь по специфичным сетевым запросам.

Наконец, тревожная статистика. Эксперты резюмируют, что в настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты компании. Это брутфорсы администраторских панелей, перебор шеллов и эксплуатация уязвимостей. За счет сканирования более десяти уязвимостей и шеллов конкурентов Neutrino состоит уже из десятков тысяч ботов.

Обновляется ботнет очень оперативно. Код малвари регулярно дополняется проверками на новые эксплоиты. Например, в тот же день, когда был опубликован свежий эксплоит для ThinkPHP, исследователи обнаружили и новую версию Neutrino.

Читайте также на АКБ:

Новый ботнет зомбирует смартфоны через ADB и SSH

Echobot: наследник ботнета Mirai атакует по 26 направлениям

Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows

Подписываемся, следим @CyberAgency

Related Post

Кто взломал Мексику: призрак Русского Хакера бродит по могиле Троцкого накануне выборов

Опубликовано - 29.06.2018 0
Мексиканские медиа обвинили Россию в попытке заDDoSить сайт Партии национального действия накануне всеобщих выборов 1 июля. По мнению правоохранительных органов…