Пятница, 15 января, 18:23
дома безопасность Ботнет Gitpaste-12 распространяется через GitHub и Pastebin.

Ботнет Gitpaste-12 распространяется через GitHub и Pastebin.

Недавно обнаруженный червь / ботнет Gitpaste-12 живет на GitHub и также использует Pastebin для размещения вредоносного кода.

Продвинутое вредоносное ПО оснащено обратной оболочкой и возможностями майнинга криптовалюты и использует более 12 известных уязвимостей.

Ботнет

Распространяйте через GitHub, атакуйте 12 разными способами

Gitpaste-12 был впервые обнаружен Juniper Threat Labs на GitHub около 15 октября.

Однако совершает показывают, что вредоносная программа существовала на GitHub с 9 июля 2020 г. до удаления 30 октября 2020 г.

Червь пытается взломать пароли через перебор и использует известные уязвимости в зараженных системах.

11 из них уязвимости Вы увидите их в таблице ниже, причем 12-е - от приложения грубой силы Telnet, используемого для распространения Gitpaste-12:

Ботнет Gitpaste-12

После первоначального нарушения системы Gitpaste-12 загружает ретроспективный скрипт с URL-адреса Pastebin, который инструктирует зараженного кашель продолжайте запускать этот скрипт каждую минуту.

Это способ для вредоносного ПО продолжать обновляться из источника Command and Control (C2), который представляет собой просто URL:

Ботнет Gitpaste-12

Кроме того, вредоносная программа загружает основной сценарий оболочки с GitHub.

URL-адрес, по которому "жил" сценарий оболочки, был удален: https: //raw.githubusercontent [.] Com / cnmnmsl-001 / - / master / shadu1

«Вредоносное ПО начинается с подготовки среды. Это означает снятие его системы защиты, включая ее правила. брандмауэр, selinux, apparmor, а также совместное предотвращение атак, а также мониторинг программного обеспечения », - говорят его исследователи. Лаборатории угрозы можжевельника, Алекс Берт и Тревор Потт.

Фактически, некоторые команды и имена хостов в скрипте показывают, что Gitpaste-12 предназначен для атаки облачная инфраструктура вычисления, предоставленные Alibaba Cloud и Tencent.

Кроме того, ботнет оснащен программой криптовалюты Monero (XMR).

Но есть еще кое-что: червь распространяется, нацеливаясь на список случайно сгенерированных IP-адресов в пределах диапазона подсети.

Вредоносная программа Gitpaste-12 также содержит скрипт, который запускает атаки на другие компьютеры в попытке воспроизведение и распространение. «Он выбирает случайный / 8 CIDR для атаки и проверяет все адреса в этом диапазоне», - говорят исследователи Juniper.

Исследователи также отметили, что некоторые скомпрометированные системы имели открытые TCP-порты 30004 и 30005 для приема команд через обратные оболочки.

Gitpaste-12 имеет низкий уровень обнаружения

Некоторые файлы, связанные с ботнетом Gitpaste-12, имеют довольно низкую скорость сканирования. BleepingComputer заметил, что полезная нагрузка hide.so, которая помогает избежать обнаружения Gitpaste-12, не обнаруживается (на 93%) антивирусными движками.

Точно так же файл конфигурации шифрования и сценарий оболочки еще не были отмечены какой-либо из машин защиты от вирусов, упомянутых в VirusTotal, по данным BleepingComputer:

Ботнет Gitpaste-12

Источник информации: bleepingcomputer.com

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ

Canon позволяет делать снимки из космоса

Вместо того, чтобы выпускать новые камеры для выставки CES 2021, Canon делает нечто иное: позволяет делать снимки из космоса ...

Википедия против больших технологий: кто борется с дезинформацией?

Поскольку день выборов превратился в неделю выборов в США, Facebook, Twitter и YouTube пытались предотвратить ...
00: 02: 36

Tesla: Призвано отозвать автомобили из-за проблемных экранов

С сенсорным экраном в некоторых автомобилях Tesla, похоже, есть проблема, которая может ...

Программы-вымогатели ответственны за половину всех утечек данных в больницах

Почти половина утечек данных, произошедших в больницах и в более широком секторе здравоохранения, связана с атаками программ-вымогателей, ...

Астрономы только что нашли самую старую огромную черную дыру

Квазар был обнаружен в темном уголке космоса - на расстоянии более 13,03 миллиарда световых лет - и содержит ...

Какие самые лучшие и самые доступные телефоны 5G на 2021 год

Скоро рынок будет наводнен устройствами 5G среднего уровня. Все происходящее будет по-настоящему увлекательным: вы сможете ...

Проверенные учетные записи Twitter в мошенничестве с криптовалютой с именем Илона Маска нарушены!

В последнее время хакеры нарушают проверенные учетные записи Twitter в мошенничестве с раздачей криптовалюты, в котором используется имя генерального директора ...

Classiscam: Мошенники «подделывают» бренды и обманывают пользователей европейских рынков!

Десятки преступных группировок публикуют фейковые объявления на популярных онлайн-рынках, чтобы привлечь ничего не подозревающих пользователей на «мошеннические» коммерческие сайты или фишинг ...

iOS 14.4: отображает уведомление о ремонте с использованием неоригинальных камер.

Начиная с iPhone 11, Apple добавила уведомление в iOS, которое сообщает пользователю, когда на устройстве есть ...

Facebook: подает в суд на разработчиков расширений Chrome за кражу данных

Facebook подал иск против двух граждан Португалии за разработку расширений Chrome, которые собирали данные от пользователей Facebook.