`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

Авторы Windows-трояна ChaChi перенацелили его на Linux

13 сентября 2021 г., 11:05
0 
 

Редким примером того, как вредоносное ПО, изначально созданное для Windows, впоследствии было адаптировано к Linux, стала обнаруженная на просторах Сети Linux-версия трояна удалённого доступа ChaChi.

Эта программа написана на разработанном Google языке GoLang, что выделяет её на фоне типичного вредоносного ПО, которое, как правило компилируется в C или C++. Из-за этого, лишь немногие антивирусные продукты способны обнаруживать ChaChi.

Она впервые попала в поле зрения экспертов кибербезопасности в прошлом году и использовалась группой кибервымогателей PYSA (также известна под именем Mespinoza) в атаках на школы США.

ChaChi, это сокращение от ChaShell (имя провайдера «обратной оболочки через DNS») и Chisel (инструмент переадресации портов).

Linux-вариант ChaChi обнаружили исследователи из фирмы Lacework. Они также отметили, что в отличие от традиционной инфраструктуры ИТ, базирующейся главным образом на Windows, облачная инфраструктура на 80 и более процентов основана на Linux. Таким образом, открытие портированного на Linux трояна ясно сигнализирует о том, что банды ransomware и другие киберпреступники переносят внимание на облачные цели.

Linux-версия ChaChi имеет ту же базовую функциональность, что и исходный троян для Windows, отличается большим размером файла (более 8 МБ) и использует обфускатор кода под названием Gobfuscate.

Вредоносная программа использует специальные серверы имен, одновременно выступающие C&C-центрами, для поддержки протокола туннелирования DNS. Интересно, что IP-адреса двух доменов разрешаются как принадлежащие хостингу Global Accelerator компании AWS, хотя могут быть связаны с доменами, регистрируемыми фирмой Namecheap.

«Многие злоумышленники нацеливаются на несколько архитектур, чтобы увеличить свою базу операций, это может быть мотивом здесь и может отражать эволюцию деятельности PYSA, — заключают представители Lacework. — Хотя программы-вымогатели редко атакуют серверы Linux и облачную инфраструктуру, такая возможность по-прежнему представляет реальную угрозу для бизнес-операций и данных клиентов».

Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Последние обсуждения

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT