Ένα botnet επιτίθεται και αποκτάει την πρόσβαση σε άλλα web shells (backdoors σε διακομιστές ιστού) κακόβουλου λογισμικού για περισσότερο από ένα χρόνο, αποκάλυψαν σήμερα οι ερευνητές ασφαλείας της Positive Technologies.
Οι ερευνητές συνέδεσαν το botnet με ένα παλαιό trojan με το όνομα Neutrino (επίσης γνωστό καισαν Kasidet), οι χειριστές του οποίου φαίνεται να έχουν μετατοπίσει τη στόχευση από τα desktops χρηστών σε web servser, στους οποίους εγκαθιστούν ένα κακόβουλο λογισμικό κρυπτογράφησης.
Οι ερευνητές της Positive Technologies αναφέρουν ότι αυτή η νέα φάση λειτουργίας της συμμορίας Neutrino ξεκίνησε στις αρχές του 2018, όταν η ομάδα κατάφερε να αναπτύξει ένα πολυλειτουργικό botnet που ανίχνευε τυχαίες διευθύνσεις IP στο διαδίκτυο αναζητώντας συγκεκριμένες εφαρμογές και διακομιστές που μπορούσε να μολύνει.
Για να παραβιάσει τους άλλους διακομιστές, το botnet Neutrino χρησιμοποιεί διάφορες τεχνικές, όπως τη χρήση exploits για παλιές και νέες ευπάθειες, ευπάθειες σε διακομιστές phpMyAdmin ή που δεν έχουν κάποιο κωδικό πρόσβασης, αλλά και επιθέσεις brute-force στους root λογαριασμούς σε συτήματα phpMyAdmin, Tomcat και MS- SQL.
Οι ερευνητές αναφέρουν επίσης ότι το Neutrino κάνει περίεργα πράγματα, που δεν παρατηρούνται σε πολλά άλλα botnets. Για παράδειγμα, το συγκεκριμένο Neutrino αναζητά Ethereum nodes που λειτουργούν με προεπιλεγμένους κωδικούς πρόσβασης, συνδέεται με αυτά τα συστήματα και κλέβει αρχεία που είναι αποθηκευμένα τοπικά.
Το Neutrino όπως αναφέρουμε στον τίτλο εστιάζει και στο hacking των web shells.
Τα web shells είναι backdoors που χρησιμοποιούν οι hackers για να εκτελέσουν λειτουργίες σε κάποιο παραβιασμένο μηχάνημα. Διαθέτουν ένα web-based interface από το οποίο οι hackers μπορούν να συνδεθούν και να εκδώσουν εντολές μέσω του προγράμματος περιήγησης τους, ή ένα ειδικό προγραμματισμένο περιβάλλον με το οποίο στέλνουν αυτοματοποιημένες εντολές.
Σύμφωνα με τους ερευνητές της Positive Technologies, το Neutrino ψάχνει τον ιστό για 159 διαφορετικούς τύπους PHP web shells και δύο JSP (Java Server Pages).
Το botnet δημιουργεί μια λίστα με web shells και στη συνέχεια ξεκινά επιθέσεις brute-force για να μαντέψει τα διαπιστευτήρια σύνδεσης και να αναλάβει την πρόσβαση.
Όσον αφορά την επιτυχία του Neutrino, η Positive Technologies αναφέρει ότι το botnet ήταν ένας από τους τρεις μεγαλύτερους αποστολείς queries στα honeypots που χρησιμοποιούσαν.
Με βάση την έρευνα της εταιρείας, το botnet έχει αποδειχτεί αρκετά επιτυχημένο στη μόλυνση διακομιστών με Windows με το phpStudy, ένα ολοκληρωμένο μαθησιακό περιβάλλον δημοφιλές κυρίως μεταξύ Κινέζων προγραμματιστών.
Ωστόσο προσβάλλει και διακομιστές phpMyAdmin.
“Για να προστατευτούν οι διακομιστές από τη μόλυνση Neutrino, συνιστούμε στους διαχειριστές να ελέγχουν τον κωδικό πρόσβασης στο root λογαριασμό του phpMyAdmin”, αναφέρει ο Kirill Shipulin, ερευνητής ασφάλειας της Positive Technologies.
“Βεβαιωθείτε ότι οι υπηρεσίες σας είναι ενημερωμένες και εγκαταστήσετε τις πιο πρόσφατες ενημερώσεις. Να θυμάστε ότι το Neutrino ενημερώνεται τακτικά με νέα exploits.”
Τεχνικές λεπτομέρειες για το modus operandi του Neutrino μπορείτε να βρείτε στην δημοσίευση της Positive Technologies.
_______________________
- Δημιουργήστε μία νέα εικονική επιφάνεια εργασίας στα Windows 10
- Πώς να απομακρύνετε τους ανεπιθύμητους από το Wi-Fi σας
- Δείτε δωρεάν την συλλογή σημειωματάριων του Leonardo da Vinci
- Η εφαρμογή Windows Notepad 10 είναι πλέον διαθέσιμη στο Microsoft Store
.