Новичок Condi объединяет роутеры TP-Link Archer AX21 в DDoS-ботнет
Главная » Новости
Высокопроизводительные NGFW от ИнфоТеКСЭффективное решение для обеспечения безопасности вашей корпоративной сети. Реализован на доверенной аппаратной платформе и сертифицирован по требованиям российских регуляторов. Межсетевые экраны следующего поколения обеспечивает глубокую фильтрацию трафика, его контроль и блокировку на уровне приложений. Классический межсетевой экран и криптографический шлюз с ГОСТ VPN.→ Получить консультацию
Реклама, АО "Инфотекс", ИНН 7710013769, 16+

Новичок Condi объединяет роутеры TP-Link Archer AX21 в DDoS-ботнет

Екатерина Быстрова 21 Июня 2023 - 09:17
...
Новичок Condi объединяет роутеры TP-Link Archer AX21 в DDoS-ботнет

Новый вредонос Condi привлёк внимание исследователей эксплуатацией уязвимости в роутерах TP-Link Archer AX21 (AX1800). Задача зловреда — заразить как можно больше маршрутизаторов и объединить их в DDoS-ботнет.

Команда Fortinet FortiGuard Labs утверждает, что кампания по распространению Condi длится с конца мая 2023 года. Автором вредоноса якобы является киберпреступник с ником zxcr9999 в Telegram. Соответствующий телеграм-канал — Condi Network — используется для рекламы и продажи ботнета.

«Интересующий нас телеграм-канал начал функционировать в мае 2022 года. Автор зарабатывал услугами DDoS-as-a-service и продажей исходного кода вредоносной программы», — пишут специалисты.

Анализ Condi выявил интересную функциональность: возможность завершать процессы конкурирующих ботнетов на одном хосте. Однако вредонос также удивил отсутствием функции закрепления в системе, поскольку он не может пережить даже перезагрузку.

Чтобы обойти свой очевидный недостаток, Condi удаляет несколько бинарников, используемых для выключения и перезагрузки системы. Вот они:

  • /usr/sbin/reboot
  • /usr/bin/reboot
  • /usr/sbin/shutdown
  • /usr/bin/shutdown
  • /usr/sbin/poweroff
  • /usr/bin/poweroff
  • /usr/sbin/halt
  • /usr/bin/halt

Кроме того, ботнет использует модуль сканера, проверяющий наличие уязвимости TP-Link Archer AX21. Если он находит брешь, выполняется шелл-скрипт для извлечения вредоносной программы. Речь идёт об уязвимости CVE-2023-1389, допускающей внедрение команды (получила 8,8 балла по шкале CVSS).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

ГК Солар предлагает миграцию с Cloudflare
Яков Шпунт 13 Января 2025 - 14:14
Малый и средний бизнесКорпорации Средства защиты веб-сайтов (приложений)Защита от DDoS CloudFlareГК «Солар»
ГК Солар предлагает миграцию с Cloudflare

Группа компаний «Солар» запустила функцию, позволяющую быстро перенести сайты малого и среднего бизнеса с зарубежного CDN-сервиса Cloudflare на российскую облачную платформу Solar Space.

Эта платформа обеспечивает защиту сайтов от DDoS-атак, злонамеренных ботов и взломов. Миграция осуществляется в несколько шагов и занимает минимум времени.

В ноябре 2024 года Роскомнадзор рекомендовал российским компаниям отказаться от использования Cloudflare. Это связано с внедрением функции ECH (Encrypted Client Hello), которая скрывает данные о сайте, к которому подключается пользователь.

В результате блокировки запрещённых ресурсов могут быть обойдены, что автоматически делает компании, использующие Cloudflare, нарушителями российского законодательства.

Кроме того, Cloudflare требует передачи SSL-сертификатов на свои серверы, что даёт американскому провайдеру доступ ко всем данным, передаваемым между сайтом и пользователем. Это создаёт риск утечек конфиденциальной информации.

Платформа Solar Space включает три ключевых продукта:

  • Web AntiDDoS — защита от атак типа «отказ в обслуживании».
  • Web AntiBot — предотвращение активности вредоносных ботов, которые создают ложные заявки или подбирают пароли.
  • WAF Lite — защита от взломов и подмены контента на сайтах и веб-приложениях.

Сервисы доступны по подписке: их можно подключить как в комплексе, так и по отдельности.

Переход с Cloudflare на Solar Space осуществляется за несколько простых шагов:

  1. Зарегистрироваться в личном кабинете Solar Space.
  2. Нажать кнопку «Импорт из Cloudflare». Все домены автоматически добавятся в личный кабинет.
  3. Верифицировать домены, перенаправить трафик через фильтрующий центр Solar Space, изменив DNS-A-записи, и выбрать тариф.

По словам директора платформы Артема Избаенкова, Solar Space использует передовые технологии на основе искусственного интеллекта, чтобы противостоять современным киберугрозам.

«Традиционные методы защиты, требующие участия специалистов, уже не справляются с профессиональными атаками, которые постоянно эволюционируют благодаря машинному обучению. Наша автоматизированная платформа эффективно нейтрализует угрозы в реальном времени, позволяя клиентам сосредоточиться на развитии бизнеса, а не на отражении атак», — отметил Избаенков.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Security Vision сертифицирована ФСБ России
Новость
Security Vision сертифицирована ФСБ России
Минцифры приступило к разработке порядка сбора датасетов у бизнеса
Новость
Минцифры приступило к разработке порядка сбора датасетов у б...
Российские пользователи Java рискуют безопасностью
Новость
Российские пользователи Java рискуют безопасностью

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.