- 13,850
- 20
- 8 Ноя 2022
Зачем червь устанавливает на устройствах программы-майнеры и оставляет их на потом?
С августа 2023 года исследователи Для просмотра ссылки Войдиили Зарегистрируйся активности червя P2PInfect. Этот вредоносный код, распространяющийся по принципу peer-to-peer (одноранговая сеть), был Для просмотра ссылки Войди или Зарегистрируйся экспертами из Unit 42 всего несколько месяцев назад, в июле. Обычно он нацеливается на системы Redis , эксплуатируя уязвимости удаленного выполнения кода на Windows и Linux.
Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.
Компания Cado Security , которая также мониторит распространение ботнета , отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.
По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.
Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.
Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:
С августа 2023 года исследователи Для просмотра ссылки Войди
Redis (Remote Dictionary Server) — это инструмент для работы с данными в базах ключ-значение, часто используемый как кэширующий сервер или брокер сообщений.
Компания Cado Security , которая также мониторит распространение ботнета , отмечает, что в основном атаки приходятся на сервера, расположенные в Китае, США, Германии, Сингапуре, Гонконге, Великобритании и Японии.
По мнению экспертов Cado, последние модификации P2PInfect свидетельствуют о его непрерывном развитии. Это позволяет вредоносному коду ещё эффективнее распространяться среди потенциальных жертв.
Аналитики обнаружили, что с 24 августа по 3 сентября число атак возросло в три раза. Максимальный рост активности был отмечен между 12 и 19 сентября — в эти дни зарегистрировано 3,619 попыток взлома.
Cado также выявила ряд технических новшеств в P2PInfect, делающих его устойчивым к обнаружению:
- Интегрирован механизм cron, который повышает скорость работы программы по сравнению с предыдущим методом — bash_logout.
- Обновленный червь использует дополнительный код (bash-payload), чтобы связываться с основным через локальное серверное соединение.
- Внедрен SSH-ключ для блокировки попыток входа легальных пользователей.
- Если ботнет получает root-доступ, он меняет пароли всех пользователей системы.
- P2PInfect теперь имеет конфигурацию, основанную на структурах языка программирования C. Она динамически изменяется в процессе выполнения кода.
- Источник новости
- www.securitylab.ru
