Интересная эволюция цифрового хищника: специалисты Positive Technologies рассказали, что операторы Neutrino сменили тактику и уже больше года атакуют веб-шеллы других хакеров и заражают не простых пользователей, а серверы. Правильно, зачем размениваться на планктон?
Вредонос известен аналитикам довольно давно, а наблюдаемый сейчас очередной его виток развития малвари, превратившейся в ботнет, начался в 2018 году. Ранее Neutrino просто распространялся через почтовые вложения и наборы эксплоитов, теперь же он функционирует в качестве полноценного ботнета.
Новообразованный ботнет эффективно сканирует сеть, ищет различные веб-приложения и серверы, брутфорсит административные панели, занимается перебором шеллов и эксплуатацией уязвимостей. Цели его неясны, возможно, это майнинг, но такие мощности теоретически можно направить на все, что угодно.
PT отмечают, что ботнет Neutrino имеет четкую организационную структуру: пока одни зараженные хосты заняты майнингом криптовалюты и сканируют интернет, другие служат прокси-серверами. В плане выбора способов взлома ботнет не гнушается никакими отмычками: он использует самые разные методы, от применения эксплоитов для старых и новых уязвимостей, до обнаружения серверов phpMyAdmin, оставленных без пароля, и брутфорса root-аккаунтов phpMyAdmin, Tomcat и MS-SQL.
Список взломанных Neutrino веб-шеллов включал в себя 159 адресов с уникальными параметрами (PHP иJSP-шеллы), малварь пыталась, по сути, брутфорсить шеллы «конкурентов». При этом в целом Neutrino ведет себя осторожно: исполняет код из памяти, использует многоступенчатую проверку шелла перед исполнением кода, а также размещает управляющие серверы на самих зараженных серверах. Фактически обнаружить его присутствие возможно лишь по специфичным сетевым запросам.
Наконец, тревожная статистика. Эксперты резюмируют, что в настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты компании. Это брутфорсы администраторских панелей, перебор шеллов и эксплуатация уязвимостей. За счет сканирования более десяти уязвимостей и шеллов конкурентов Neutrino состоит уже из десятков тысяч ботов.
Обновляется ботнет очень оперативно. Код малвари регулярно дополняется проверками на новые эксплоиты. Например, в тот же день, когда был опубликован свежий эксплоит для ThinkPHP, исследователи обнаружили и новую версию Neutrino.
Читайте также на АКБ:
Новый ботнет зомбирует смартфоны через ADB и SSH
Echobot: наследник ботнета Mirai атакует по 26 направлениям
Новый ботнет атакует 1,5 млн систем через удаленный рабочий стол Windows