Истина где-то ниже
Октябрь 26, 2018

Ботнет Chalubo атакует машины на базе Linux

Очень плохоПлохоСреднеХорошоОчень хорошо (Еще нет голосов, оставьте первым)
Загрузка...

Ботнет Сhalubo взламывает устройства под управлением Linux и устанавливает на них программу для организации DDoS-атак. В коде зловреда исследователи нашли фрагменты исходников семейств XoR и Mirai, а также оригинальный скрипт, написанный на языке Lua. Авторы приложения зашифровали его компоненты при помощи системы поточного кодирования ChaCha, чтобы затруднить обнаружение макроса в инфицированной системе. Названия двух этих программ дали имя ботнету (ChaCha-Lua-bot — Chalubot).

В начале августа этого года специалисты зафиксировали тестовые проникновения, а к середине октября злоумышленники расширили список целей и увеличили интенсивность атаки.

Как выяснили специалисты, полезная нагрузка, доставляемая на инфицированный компьютер, состоит из трех компонентов: установщика, основной программы и скрипта Lua для взаимодействия с командным сервером. Основной скрипт отвечает за DDoS-атаки через DNS, SYN и UDP. Программа также содержит фрагменты трояна XOR DDoS, впервые появившегося на радарах специалистов еще в 2015 году. В качестве инструкций от центра управления Chalubo принимает любой код, написанный на Lua, и выполняет его в инфицированной системе.

Вредоносная программа попалась в ханипот компании Sophos — злоумышленники атаковали SSH-порт при помощи брутфорса и передавали боту команду для SYN-атаки на целевой компьютер с китайским IP-адресом. Специалисты зафиксировали применение элементарной пары идентификационных данных root:admin, на которую и среагировал тестовый сервер.

Аналитики отметили нетипичное для Linux-зловредов поведение Chalubo. Как утверждают исследователи, он использует многоуровневую доставку полезной нагрузки и применяет поточное шифрование своих компонентов, чтобы усложнить их анализ антивирусными сканерами.

Анализ кампании показал, что первоначально полезная нагрузка Chalubo была ориентирована лишь на устройства с x86-процессорами, однако с середины сентября злоумышленники расширили список целей, выпустив версии для MIPS, PowerPC, ARM и других архитектур.

Источник: https://threatpost.ru/chalubo-targets-linux-bypasses-av-filters/28895/