Botnet canibaliza outras conchas por mais de um ano

Uma botnet estå atacando e obtendo acesso a outras conchas da Web (backdoors em servidores da Web) de malware por mais de um ano, revelaram hoje os pesquisadores de segurança da Positive Technologies.

Pesquisadores vincularam o botnet a um antigo cavalo de tróia chamado Neutrino (também conhecido como Kasidet), cujos operadores parecem ter mudado a segmentação de desktops para um servidor web, onde instalam software de criptografia maliciosa.

botnet

Pesquisadores da Positive Technologies relatam que esta nova fase da operação da gangue Neutrino começou no início de 2018, quando a equipe conseguiu desenvolver uma botnet multifuncional que detectava endereços IP aleatórios na Internet, procurando aplicativos e servidores específicos que poderiam infectar.

Para violar outros servidores, o botnet Neutrino usa uma variedade de técnicas, como o uso de exploraçÔes para vulnerabilidades antigas e novas, vulnerabilidades em servidores phpMyAdmin ou aqueles que não possuem senha e ataques de força bruta em contas raiz nos sistemas phpMyAdmin, Tomcat. e MS-SQL.

Os pesquisadores também relatam que Neutrino faz coisas estranhas que não são vistas em muitas outras redes de bots. Por exemplo, esse Neutrino pesquisa nós do Ethereum que funcionam com senhas padrão, se conectam a esses sistemas e roubam arquivos armazenados localmente.

Neutrino, como mencionamos no título, também se concentra em hackers na web.

Os shells da Web sĂŁo backdoors usados ​​pelos hackers para executar operaçÔes em uma mĂĄquina comprometida. Eles tĂȘm uma interface baseada na Web a partir da qual os hackers podem se conectar e emitir comandos por meio do navegador ou um ambiente especialmente programado com o qual eles enviam comandos automatizados.

De acordo com os pesquisadores da Positive Technologies, Neutrino estĂĄ procurando tecido para 159 tipos diferentes de web shells PHP e dois JSPs (Java Server Pages).

O Botnet cria uma lista de shells da Web e, em seguida, lança ataques de força bruta para adivinhar as credenciais de conexão e assumir o controle.

Quanto ao sucesso de Neutrino, a Positive Technologies relata que a botnet foi uma das trĂȘs maiores consultas enviadas aos honeypots em uso.

Com base nas pesquisas da empresa, o botnet provou ser bastante bem-sucedido em infectar servidores Windows com o phpStudy, um ambiente abrangente de aprendizado popular principalmente entre os desenvolvedores chineses.

No entanto, também infecta servidores phpMyAdmin.

“Para proteger os servidores contra a infecção por Neutrino, recomendamos que os administradores verifiquem a senha na conta raiz do phpMyAdmin”, disse Kirill Shipulin, pesquisador de segurança da Positive Technologies.

“Verifique se seus serviços estĂŁo atualizados e instale as atualizaçÔes mais recentes. Lembre-se de que o Neutrino Ă© atualizado regularmente com novas exploraçÔes. ”

Detalhes técnicos sobre o modus operandi de Neutrino podem ser encontrados na publicação da Positive Technologies.

_______________________

.