Ботнет Arcbot атакует инфраструктуру китайских провайдеров облачного хостинга, предупредили исследователи из компании Cado Security. Предположительно, основной целью малвари является майнинг криптовалюты, пишет Хакер.
Abcbot атакует серверы таких компаний, как Alibaba Cloud, Baidu, Tencemt и Huawei Cloud, говорят эксперты, тем самым подтверждая выводы своих коллег из Trend Micro и Qihoo 360 NetLab.
«У меня есть теория, что более молодые провайдеры облачных услуг, такие как Huawei Cloud, Tencent и Baidu, не так развиты, как AWS, где есть автоматические оповещения на случай, когда развертывание осуществляется небезопасным образом, — рассказал изданию The Record Мэтт Мьюир из Cado Security. — Облако Alibaba определенно существует дольше, поэтому службы безопасности компании тоже выглядят более зрелыми. Примечательно, что компания Trend Micro обнаружила малварь, нацеленную на Huawei Cloud, а новые образцы, которые проанализировали мы, уже нацелены и на других китайских поставщиков облачных услуг».
Атаки Abcbot, как правило, нацелены на серверы Linux, которые защищены слабыми паролями или работают с незащищенными приложениями. Как только точка входа найдена, Abcbot развертывает скрипт Linux bash, который отключает защиту SELinux, создает бэкдор для для операторов малвари, а затем сканирует зараженные системы на наличие другой малвари.
Обнаружив конкурирующее вредоносное ПО, Abcbot ликвидирует его процессы, а также любые другие процессы, которые могут быть связаны с майнингом криптовалюты. Затем Abcbot совершает еще одно действие, нехарактерное для других ботнетов: удаляет ключи SSH, оставляя только свои собственные, чтобы гарантировать, что его операторы — единственные, кто сможет подключиться к серверу.
Мьюир говорит, что подобное поведение предполагает, что другие хак-группы тоже используют аналогичную технику, которую разработчики Abcbot подхватили и решили помешать конкурентам. Впрочем, возможно, что хакеры также просто удаляют свои собственные ключи от предыдущих кампаний.
Интересно, что образцы Abcbot, изученные Cado Security, могли лишь заражать новые системы, делая их частью ботнета. При этом старые образцы, проанализированные Trend Micro, имели модули для добычи криптовалюты, а образцы, изученные Qihoo 360 NetLab, могли использоваться для организации DDoS-атак. Однако с учетом того, что вредонос уничтожает на зараженных машинах любых процессы, связанные с майнингом, эксперты считают, что его конечная цель — это все же добыча криптовалюты.
DeFi-протокол Kelp DAO сообщил о подозрительной cross-chain активности с rsETH и остановил контракты токена в основной сети Ethereum и нескольких L2.
Исследователи обнаружили кампанию FakeWallet, в рамках которой в App Store размещались фишинговые iOS-приложения, маскирующиеся под популярные криптокошельки.
Исследователи описали ZionSiphon - OT-вредонос, ориентированный на объекты водоочистки и опреснения в Израиле.
21 апреля в РТУ МИРЭА прошло годовое собрание Ассоциации разработчиков программных продуктов «Отечественный софт».
Исследователи из НИЯУ МИФИ разработали инновационную архитектуру нейросети MambaShield, способную сохранять высокую точность работы даже в условиях целенаправленных кибератак на обучающие выборки.
«Лаборатория Касперского» выявила новую хакерскую группу — Geo Likho: по данным портала киберразведки Kaspersky Threat Intelligence Portal, злоумышленники совершают сложные целевые атаки на российские организации из различных сфер ради кибершпионажа.
Исследователи обнаружили новую версию Android-малвари NGate, которая теперь маскируется не под банковский троян, а под модифицированное легитимное NFC-приложение HandyPay.
Французское агентство France Titres, ранее ANTS, подтвердило инцидент безопасности на портале ants.
Российский разработчик технологий кибербезопасности F6 предупредил о распространении опасного инфостилера WeedHack, замаскированного под популярные модификации для Minecraft.
ПАО «ВымпелКом» и ОАО «РЖД» совместно с разработчиком высокотехнологичных средств защиты информации, компанией «ИнфоТеКС», провели успешные пилотные испытания технологии квантового распределения ключей для организации высокозащищенной корпоративной сети.
