Ботнет поедает Европу – троян атакует нефтянку Штатов

Опубликовано at 20:44
44 0

В 2019 году кибервойна разворачивается на всех континентах одновременно.

От экспертов поступают сообщения о вредоносных кампаниях, которые нацелены не на абстрактные корпорации и данные, а конкретно на умные устройства и производства, от которых зависит экономика.

Так, SecNiche Security Labs докладывают про неизвестный ранее ботнет Gucci, который заражает oT-устройства для проведения DDoS-атак. Этот зловред постоянно дорабатывается, и его могут, как швейцарский нож, оснастить практически любым вредоносным функционалом.

Уже сегодня зараженный Gucci компьютер может вести как целевые, так и широкие атаки, поражая устройства на базе таких архитектур, как ARM, x86, MIPS, PPC, M68K. Каждый бот поддерживает связь с управляющим сервером на TCP-порту 5555 (Telnet). Код зловреда обфусцирован и труден для исследования. Проследить зловред удалось до сервера в Нидерландах.

А что же в это время происходит за океаном, в благословенных Штатах? Там киберпреступники нацелились на нефтянку, сердце и кровь первой экономики мира.

Неизвестные киберпреступники организовали атаку на компании в сфере нефтяной промышленности США. В рамках вредоносной кампании для кражи данных использовался троян для удаленного доступа (RAT) Adwind (другие названия jRAT, AlienSpy, JSocket и Sockrat), который ранее уже был замечен в атаках против компаний электроэнергетического сектора.

Эксперты Netskope сообщают, что атаки осуществляются с домена, принадлежащего австралийскому интернет-провайдеру Westnet. Не факт, тем не менее, что сам провайдер об этом в курсе, а не используется «втемную».

Adwind RAT в настоящее время предлагается на ряде торговых площадок в даркнете по модели вредоносное ПО-как-услуга (malware-as-a-service) и за последние два года неоднократно использовался в различных кампаниях. Этот вредонос способен шифровать и фильтровать данные, захватывать изображения web-камеры, проверять жесткие диски на наличие определенных файлов на основе расширений в конфигурации вредоносного ПО, внедрять вредоносный код в легитимные процессы для избежания обнаружения и мониторить состояние системы. ПО изменяет параметры реестра для обеспечения персистентности и может отключать межсетевые экраны, антивирусные решения и другие службы безопасности на зараженных устройствах.

Данный вредонос также обфусцирован, чтобы его было сложно задетектировать и исследовать. Зловред использует несколько встроенных JAR-архивов (Java Archive) перед распаковкой окончательной полезной нагрузки. Уровень обфускации был настолько эффективным, что только 5 из 56 антивирусных решений на VirusTotal смогли обнаружить вредоносное ПО.

Читайте также на АКБ:

Wannaбудущее: новое поколение вирусов шифрует, шпионит и крадет деньги одновременно

Золото Рейна: кибератака остановила заводы главного производителя вооружений в ЕС

Хитрый троянец Локи вскрывает заводы Штатов

Подписываемся, следим @CyberAgency

Related Post

ИИ научился предсказывать блэкауты

Опубликовано - 05.08.2019 0
Свет во время грозы теперь не будет вырубаться внезапно. По крайней мере, в Финляндии, где программисты разработали специальный алгоритм, с…

Самошифруемые SSD оказались уязвимы для элементарных атак

Опубликовано - 07.11.2018 0
Специалисты нидерландского Университета Неймегена рассказали про опасные уязвимости, связанные с SSD с поддержкой аппаратного шифрования. Благодаря обнаруженным дырам, злоумышленники могут…