• VLMI - форум по обмену информацией. На форуме можете найти способы заработка, разнообразную информацию по интернет-безопасности, обмен знаниями, курсы/сливы.

    После регистрации будут доступны основные разделы.

    Контент форума создают пользователи, администрация за действия пользователей не несёт ответственности, отказ от ответственности. Так же перед использованием форума необходимо ознакомиться с правилами ресурса. Продолжая использовать ресурс вы соглашаетесь с правилами.
  • Подпишись на наш канал в Telegram для информации о актуальных зеркалах форума: https://t.me/vlmiclub

Китайские киберпреступники нацелились на Linux-серверы

DOMINUS_EDEM

«EDEM CORP»

DOMINUS_EDEM

«EDEM CORP»
Куратор
Сообщения
152
Реакции
88
0 руб.
Telegram
Злоумышленники внедряют на скомпрометированные серверы криптомайнер Antd.​

Киберпреступная группировка Pacha Group, предположительно действующая из Китая, активно компрометируют Linux-серверы с целью внедрения вредоносного ПО для добычи криптовалюты. По данным экспертов Intezer, злоумышленники атакуют серверы не напрямую, а через приложения WordPress или PhpMyAdmin. Получив доступ к серверу, они внедряют вредонос Linux.GreedyAntd (Antd).

Первые атаки были зафиксированы в сентябре 2018 года. По словам исследователей, исходный код вредоноса, используемого в кампании, имеет схожие черты с другой вредоносной программой - Linux.HelloBot. Предположительно, группировка Pacha Group параллельно тестируют два вида вредоносного ПО, но в своих операциях чаще использует Antd.

Вредонос представляет собой модифицированную версию майнера XMRig, использующую прокси для сокрытия настроек и адресов криптовалютных кошельков.

Antd имеет модульную структуру и может работать с несколькими управляющими серверами. Наличие широкой инфраструктуры с большим числом взаимосвязанных компонентов позволяет сохранить функциональность вредоноса в случае отключения каких-либо C&C-серверов. Кроме того, для устранения Antd с инфицированной системы потребуются значительные усилия, поскольку его поведение отличается от другого вредоносного ПО под Linux. К примеру, для сохранения присутствия на атакуемой системе вместо использования планировщика задач cronjob Antd добавляет службу Systemd, имитирующую официальный сервис mandb. Бэкдор Antd довольно сложно обнаружить, если не знать, что искать, отмечают исследователи.
 
Сверху Снизу