Ботнет Neutrino питается хакерами и закусывает серверами

Опубликовано 22.08.2019 at 22.08.2019 | admin

Интересная эволюция цифрового хищника: специалисты Positive Technologies рассказали, что операторы Neutrino сменили тактику и уже больше года атакуют веб-шеллы других хакеров и заражают не простых пользователей, а серверы. Правильно, зачем размениваться на планктон?

Вредонос известен аналитикам довольно давно, а наблюдаемый сейчас очередной его виток развития малвари, превратившейся в ботнет, начался в 2018 году. Ранее Neutrino просто распространялся через почтовые вложения и наборы эксплоитов, теперь же он функционирует в качестве полноценного ботнета.

Новообразованный ботнет эффективно сканирует сеть, ищет различные веб-приложения и серверы, брутфорсит административные панели, занимается перебором шеллов и эксплуатацией уязвимостей. Цели его неясны, возможно, это майнинг, но такие мощности теоретически можно направить на все, что угодно.

PT отмечают, что ботнет Neutrino имеет четкую организационную структуру: пока одни зараженные хосты заняты майнингом криптовалюты и сканируют интернет, другие служат прокси-серверами. В плане выбора способов взлома ботнет не гнушается никакими отмычками: он использует самые разные методы, от применения эксплоитов для старых и новых уязвимостей, до обнаружения серверов phpMyAdmin, оставленных без пароля, и брутфорса root-аккаунтов phpMyAdmin, Tomcat и MS-SQL.

Список взломанных Neutrino веб-шеллов включал в себя 159 адресов с уникальными параметрами (PHP иJSP-шеллы), малварь пыталась, по сути, брутфорсить шеллы «конкурентов». При этом в целом Neutrino ведет себя осторожно: исполняет код из памяти, использует многоступенчатую проверку шелла перед исполнением кода, а также размещает управляющие серверы на самих зараженных серверах. Фактически обнаружить его присутствие возможно лишь по специфичным сетевым запросам.

Наконец, тревожная статистика. Эксперты резюмируют, что в настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты компании. Это брутфорсы администраторских панелей, перебор шеллов и эксплуатация уязвимостей. За счет сканирования более десяти уязвимостей и шеллов конкурентов Neutrino состоит уже из десятков тысяч ботов.

Обновляется ботнет очень оперативно. Код малвари регулярно дополняется проверками на новые эксплоиты. Например, в тот же день, когда был опубликован свежий эксплоит для ThinkPHP, исследователи обнаружили и новую версию Neutrino.