Инструкция новичку Путеводитель по форуму Прокси для Telegram Показать подсказки , это бомба!

Операторы ботнета Windigo доработали бэкдор Linux/Ebury

News_Bot

Бот новостей и статей
Бот форума
29 Сен 2016
3.023
37
Операторы ботнета Windigo доработали бэкдор Linux/Ebury



Еще в марте 2014 года специалисты ESET, совместно с экспертной группой CERT-Bund и исследовательским центром SNIC, опубликовали отчет об «Операции Windigo». Тогда эксперты выяснили, что вредоносная киберкампания продолжалась как минимум с 2011 года. В течение нескольких лет операторы ботнета скомпрометировали более 25 000 Linux- и UNIX-серверов, а также устройства на базе ОС Windows, OS X, OpenBSD, FreeBSD и Linux. Среди пострадавших числись такие организации, как cPanel и Linux Foundation.

Основным компонентом «Операции Windigo» был OpenSSH-бэкдор и инструмент кражи данных Linux/Ebury, установленный на десятки тысяч серверов. С его помощью атакующие загружали в скомпрометированные системы дополнительные программы для кражи учетных данных, перенаправления трафика на вредоносный контент, заражения пользователей и рассылки спама.

Суммарно Ebury инфицировал более 500 000 компьютеров и 25 000 серверов. Ботнет мог рассылать 35 000 000 спамерских писем ежедневно, и перенаправлять более 500 000 человек на вредоносные сайты.

В августе 2015 года в Финляндии года был арестован житель Великого Новгорода Максим Сенах, один из подозреваемых в организации ботнета Windigo. В итоге Сенаха экстрадировали в США, и в марте 2017 года он признал свою вину в нарушении закона о компьютерном мошенничестве и злоупотреблении, а в августе текущего года была приговорен к 46 месяцам тюремного заключения.

Вскоре после ареста Сенаха система телеметрии ESET показала снижение активности одного из компонентов ботнета – вредоносной программы Linux/Cdorked, предназначенной для перенаправления веб-трафика. Как было установлено впоследствии, Сенах получал прибыль от этого вида вредоносной деятельности Windigo. Активность Linux/Cdorked до настоящего времени не возобновлена.

Тем не менее, ботнет Windigo продолжает работу. Например, исследователи обнаруживают новые версии программы Win32/Glupteba, также связанной с Windigo и отвечающей в составе ботнета за рассылку спама.

Наконец, в феврале 2017 года специалисты ESET обнаружили новый образец Ebury (версия 1.6), получивший ряд существенных доработок. Исследователи говорят, что теперь Ebury использует новый алгоритм генерации доменов (DGA) для передачи украденной информации. Также авторы малвари предусмотрели методы самомаскировки и новые способы внедрения в процессы, связанные с OpenSSH. Новые функции были добавлены в версии 1.6, но по неизвестным причинам они доступны не во всех изученных образцах данной версии.

Кроме того, исследователи полагают, что операторы Windigo изучают доклады поставщиков решений для безопасности и дорабатывают свои вредоносные инструменты, чтобы обходить индикаторы заражения и избегать обнаружения.
«Если вы определили зараженную машину, рекомендуем произвести полную переустановку системы, поскольку Windigo иногда устанавливает дополнительные вредоносные программы. Машина, скомпрометированная Ebury, может быть заражена и другой малварью. Кроме того, считайте, что все учетные данные пользователя и ключи SSH скомпрометированы – смените их все», — резюмируют специалисты.​
 
Ваш e-mail не будет опубликован. Он потребуется для подтверждения Вашего поста.
Оформление текста Нажмите «Ввод», чтобы отправить ответ.

Привет!

Мы группа людей которые решили помочь другим в решении их проблем, а так же пользователям с поиском самых свежих и качественных инфопродуктов. За 4 с небольшим месяца мы создали этот форум на который заходят ежедневно тысячи человек и посещаемость постоянно растёт. Мы создали панель лицензирования для защиты PHP скриптов от воровства и SEO панель для мониторинга наших сайтов и выбора верной стратегии их развития. Мы надеемся что то что мы создали пригодится Вам и возможно Вы поможете нам развиваться и совершенствоваться вместе с Вами.

Статистика форума

Темы
338.067
Сообщения
360.647
Пользователи
25.662
Новый пользователь
mitya

Приложения форума для iOS и Android


У ркн там нет власти ;)
Гостевуха
Помощь Пользователи
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Всем привет!
    Цитата
  • K (Гость) kkifkaa:
    mizaider тут есть?
    Цитата
  • K Chat Bot:
    Гость kkifkaa присоединился к комнате.
  • K (Гость) kkifkaa:
    Здравствуйте уважаемые члены форума. Подскажите пож-та, что можно сделать если я был заблокирован якобы за: «Вы были заблокированы по следующей причине: Копирование материалов на другие ресурсы». Самое страшное, то что тебя обвиняют и не дают возможность пообщаться и разобраться в причинах. Кстати в такой ситуации может быть каждый из нас. Вот так стараешься размещаешь тут материал, а тебя без разбирательств в бан. И нет возможности обратится в тех поддержку т.к. твой аккаут заблокирован. Подскажите пож-та, как можно связаться с администрацией, чтобы была проведена проверка? Сейчас я новичок и как раз в этот день для нас заливал на форум новые курсы (один залил, второй не успел). Я сначала подумал, что какой-то запрещений материал разместил, а потом понял, что меня обвинили в том, что я не делал.
    Цитата
  • K (Гость) kkifkaa:
    mizaider ты здесь помоги пожалуйста!
    Цитата
  • mizaider @ mizaider:
    Вопрос решен.
    Цитата
  • goodness @ goodness:
    Добрый вечер уважаемые форумчане!)
    Цитата
  • goodness @ goodness:
    Вопрос к администрации: Имеется одна точка доступа wifi на квартиру, вашим форумом пользуюсь пока что только я, но хотел бы зарегистрировать и свою девушку,
    Цитата
  • goodness @ goodness:
    система нас не забанит из-за того что мы с одной точки доступа но с разных устройств?
    Цитата
  • mizaider @ mizaider:
    Не забанит
    Цитата
  • Captain @ Captain:
    Батя в здание
    Цитата
  • 13SASHA13 @ 13SASHA13:
    Цитата
  • Uggi Chat Bot:
    Uggi покинул(а) комнату.
  • M Chat Bot:
    mr_robot_i2p покинул(а) комнату.
  • Captain @ Captain:
    Батя в здание
    Цитата
  • J Chat Bot:
    joker567 покинул(а) комнату.
  • Z Chat Bot:
    ztmm покинул(а) комнату.
    Z Chat Bot: ztmm покинул(а) комнату.