Ботнет, атаковавший Южную Корею, выводит из строя зомби-машины после их использования
Акция от Infosecurity! Обучайте сотрудников с выгодойПодключайте сервис TRAINING CENTER. Организацию и контроль обучения берем на себя:
• Разработаем индивидуальные шаблоны учебного фишинга.
• Сформируем учебные группы и проведем учебные фишинговые атаки.
• Проконтролируем процесс и определим результаты.

При заключении договора сроком на 1 год и более – сопровождение бесплатно.
Набор и стоимость услуг зависят от количества пользователей, и размер скидки уточняйте у менеджера.

→ Оставить заявку
Реклама. Рекламодатель ООО «ИС», ИНН 7705540400, 18+

Ботнет, атаковавший Южную Корею, выводит из строя зомби-машины после их использования

На прошлой неделе десятки правительственных сайтов Южной Кореи подверглись DDoS-атакам. Сами по себе нападения, нацеленные на отказ в обслуживании, сегодня уже никого не удивляют, однако каждый раз что-то интересное обнаруживается в 'сопутствующих' материалах; вот и теперь исследовательская лаборатория McAfee, вскрыв бот-клиент, который использовался для направления и координации потоков мусорных запросов, нашла в нем разрушительную начинку.



Эксперт компании Георг Вичерски рассказал о находке в корпоративном блоге еще в понедельник, однако зарубежные СМИ отреагировали лишь несколько дней спустя. Тем не менее, лучше поздно, чем никогда: сообщить об опасном коде важно, поскольку он характеризуется высоким уровнем деструктивности и нацелен на необратимую порчу данных, хранящихся на инфицированном компьютере.


Итак, согласно блог-записи, после установки в систему бот-клиент создает файл noise03.dat, куда записывает отметку о дате / времени заражения, а также количество дней, которое отведено компьютеру. Оператор вредоносной сети может увеличить последний параметр с помощью особых команд, но общая продолжительность "срока дожития" не может превышать 10 дней. Как только время истечет, будет запущен деструктивный функционал:
- первые секторы всех физических жестких дисков перезаписываются нулями (т.е. уничтожается MBR),
- все файлы, хранящиеся на дисках, просматриваются и тоже перезаписываются нулями, если их расширения совпадают с указанными в специальном списке. Список невелик, но содержателен: в него входят популярные форматы документов (doc, docx, docm, xls, xlsx, pdf, eml) и файлов данных для некоторых языков программирования (c, cpp, h, java).
Любопытно, что разработчики бот-клиента предусмотрели даже защиту от перевода системной даты: если установить день, предшествующий моменту инфицирования, то разрушительные процедуры будут запущены немедленно.


Есть у ботнета и другая особенность: он обладает двухуровневой системой контрольных серверов, почти равномерно распределенных по всему миру. Серверы первого уровня указаны в файле конфигурации, который может обновляться оператором вредоносной сети; при обращении к ним инфицированный компьютер получает список серверов второго уровня, от которых уже поступают конкретные инструкции. Секторная диаграмма географического расположения контрольных точек ботнета, построенная аналитиками McAfee, говорит сама за себя.



(изображение из первоисточника blogs.mcafee.com. Щелкните для увеличения...)


При этом бот-клиент похож скорее на троянский загрузчик: он не получает от центра управления прямые команды, а "скачивает" с командных серверов конфигурационные файлы, содержимое которых считывают и приводят в исполнение вторичные компоненты вредоносной программы, работающие независимо от основной службы.


Описанная инфраструктура управления усложняет декомпозицию и обратный анализ инфекции, а также обеспечивает отказоустойчивость: трудно подавить сразу все серверы, если они находятся в не одном десятке стран мира.


McAfee

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Android-трояна CraxsRAT раздают в WhatsApp как софт Минцифры и Банка России

Специалисты F.A.C.C.T фиксируют повышенную активность распространителей CraxsRAT. Летом и осенью было суммарно обнаружено более 140 уникальных образцов многофункционального Android-трояна.

Ссылки на загрузку CraxsRAT публикуются в мессенджерах, в том числе в WhatsApp. При этом вредоноса выдают за апдейт приложений российских Госуслуг, Минздрава, Минцифры, Центробанка, а также телеоператоров Белоруссии.

 

Некоторые семплы именовались «СПИСОК.СВО2024», «Гос.Списки СВО», «списки военнопленных», «spiski». Эксперты расценили такую маскировку как свидетельство намерения использовать CraxsRAT для шпионажа.

Анализ образцов, проведенный в F.A.C.C.T., показал, что Android-зловред обладает всеми необходимыми для этого функциями. Преемник трояна SpyNote не только предоставляет оператору удаленный доступ к зараженному устройству, но также умеет копировать список контактов и журнал звонков, перехватывать СМС и клавиатурный ввод, делать скриншоты, контролировать камеру и микрофон.

Обмен с C2-сервером осуществляется через веб-сокет. Шифрование не используется, подлежащие передаче данные подвергаются сжатию (GZip).

Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru