Специалисты компании Доктор Веб исследовали бэкдор для Linux

Специалисты компании Доктор Веб исследовали бэкдор для Linux

Специалисты компании  Доктор Веб исследовали бэкдор для Linux

Вредоносная программа получила наименование Linux.BackDoor.FakeFile.1, и распространяется она, судя по ряду признаков, в архиве под видом PDF-файла, документа Microsoft Office или Open Office.

При запуске троянец сохраняет себя в папку .gconf/apps/gnome-common/gnome-common, расположенную в домашней директории пользователя. Затем в папке, из которой был запущен, он ищет скрытый файл с именем, соответствующим своему имени, после чего перемещает его на место исполняемого файла. Например, если ELF-файл Linux.BackDoor.FakeFile.1 имел имя AnyName.pdf, он будет искать скрытый файл с именем .AnyName.pdf, после чего сохранит его вместо оригинального файла командой mv .AnyName.pdf AnyName.pdf. Если документ отсутствует, Linux.BackDoor.FakeFile.1 создает его и затем открывает в программе gedit, пишет news.drweb.ru.

После этого троянец проверяет имя дистрибутива Linux, который используется на атакуемом устройстве: если оно отличается от openSUSE, Linux.BackDoor.FakeFile.1 записывает в файлы <HOME>/.profile или <HOME>/.bash_profile команду для собственного автоматического запуска. Затем он извлекает из собственного файла и расшифровывает конфигурационные данные, после чего запускает два потока: один обменивается информацией с управляющим сервером, второй следит за длительностью соединения. Если троянцу не поступало команд более 30 минут, соединение разрывается.

Linux.BackDoor.FakeFile.1 может выполнять следующие команды:

  • передать на управляющий сервер количество сообщений, отправленных в ходе текущего соединения;
  • передать список содержимого заданной папки;
  • передать на управляющий сервер указанный файл или папку со всем содержимым;
  • удалить каталог;
  • удалить файл;
  • переименовать указанную папку;
  • удалить себя;
  • запустить новую копию процесса;
  • закрыть текущее соединение;
  • организовать backconnect и запустить sh;
  • завершить backconnect;
  • открыть исполняемый файл процесса на запись;
  • закрыть файл процесса;
  • создать файл или папку;
  • записать переданные значения в файл;
  • получить имена, разрешения, размеры и даты создания файлов в указанной директории;
  • установить права 777 на указанный файл;
  • завершить выполнение бэкдора.

Для своей работы Linux.BackDoor.FakeFile.1 не требует привилегий root, он может выполнять вредоносные функции с правами текущего пользователя, от имени учетной записи которого он был запущен. 

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мещанский суд Москвы арестовал руководство Аеза Групп

Мещанский суд Москвы по ходатайству следствия арестовал соучредителя и генерального директора компании «Аеза Групп» Юрия Бозояна, а также его заместителей Орела и Зубова.

Их обвиняют в осуществлении незаконной банковской деятельности и создании организованного преступного сообщества. Кроме того, фигурантов связывают с кампанией Doppelgänger.

Задержание подозреваемых произошло 1 апреля после обыска в офисе «Аеза Групп», расположенном на Зольной улице в Санкт-Петербурге, в здании, где ранее находился «ЧВК Вагнер-центр».

Как сообщает «Фонтанка», обыск проводили сотрудники ОБЭП УМВД по Санкт-Петербургу и Ленинградской области. По данным издания, фигурантам вменяется участие в преступном сообществе и незаконная банковская деятельность (часть 2 статьи 172 и часть 1 статьи 210 УК РФ). В числе прочего, они, предположительно, занимались обналичиванием денежных средств и криптовалютными операциями.

Официально «Аеза Групп» заявляла о деятельности в сфере хостинга и аренды серверов. Согласно информации РБК, компания существует с 2021 года. Помимо Бозояна, в числе её соучредителей числятся Арсений Пензев и Игорь Князев.

По данным зарубежных СМИ, «Аеза Групп» играла ключевую роль в информационной кампании Doppelgänger («Двойник»), в рамках которой создавались сайты-имитаторы с фейковыми новостями. Ранее «Фонтанка» также писала о публикациях в европейских СМИ, в которых «Аезу Групп» связывали с деятельностью в даркнете и операциями с криптовалютой, однако ссылки на первоисточники приведены не были.

Ранее российские власти уже предприняли ряд шагов против известных фигур, вызывавших недовольство у США. Среди них — арест хакера Михаила Матвеева (известного как Wazawaka), блокировка телеграм-канала «Глаз Бога» и операция против криптобиржи Cryptex, активно использовавшейся киберпреступниками.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru