Меню
Поиск

XBash — опасный коктейль «четыре в одном»

18 сентябрь, 2018 - 13:05

XBash — опасный коктейль «четыре в одном»

Активная в последние пару лет группа разработчиков вредоносного ПО, известная под псевдонимами Iron и Rocke, разродилась многофункциональным вирусом, угрожающим безопасности серверов Linux и Windows.

Программа, получившая название XBash, объединяет в себе функциональность червя, ransomware, криптомайнера и ботнета.

Iron, которая, по мнению экспертов Cisco Talos базируется в Китае, в 2017 г. и начале 2018 г. распространяла вымогательское ПО, а затем перешла к массовым операциям по внедрению криптомайнеров.

Теперь же, как указали исследователи из Palo Alto Networks, хакеры объединили всё свои предыдущие тактические приёмы, развернув структуру ботнета с возможностями ransomware и майнера криптовалют. Этот «коктейль» Iron дополнила ещё и червём, способным самостоятельно распространяться внутри изолированных корпоративных сетей.

Анализ XBash показал, что указанные компоненты программа активирует селективно: ботнет и ransomware задействуется только при атаках на Linux-серверы, а криптомайнер работает только в среде Windows. Опция червя, по данным исследователей, использовалась на этапе разработки XBash и в настоящее время законсервирована.

Модуль ботнет, обеспечивающий плацдарм для развёртывания вредоносной деятельности XBash, содержит сканер, который ищет в Сети веб-приложения, не имеющие установленных защитных патчей или использующие настройки пароля по умолчанию.

Используя эксплойты, XBash проникает в серверы Hadoop, Redis или ActiveMQ, где оставляет копию своего ботнета и ransomware (если это Linux-серверы). Далее, он сканирует и удаляет работающие локально службы баз данных и оставляет сообщение с требованием выкупа в размере 0,02 Bitcoin ($125) за восстановление баз данных (которые к тому времени уже безвозвратно потеряны).

Инфицирование Windows происходит только если точкой входа является сервер Redis. В этом случае применяется особая процедура установки майнера виртуальных денег.

В состав ботнета XBash входит и ещё одни сканер, который ищет в Интернете и пытается взломать методом грубой силы веб-серверы (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh и Rsync. Это позволяет ботнету разрастаться более быстрыми темпами и увеличивает поверхность атаки.

На основании адресов Bitcoin, найденных в некоторых требованиях выкупа, эксперты сделали вывод, что хакеры уже смогли выманить 0,964 Bitcoin (порядка 6 тыс. долл.) за базы данных, которые они не могли и не собирались возвратить.

Активация «спящей» кросс-платформенной функциональности в следующих версиях XBash позволит мошенникам увеличить прибыль, получаемую от обманутых жертв.