Neobjavený malware premení servery Linux a BSD na spamové botnety

mumblehard-botnety

Nová skupina škodlivého softvéru, ktorú výskumníci v oblasti bezpečnosti nazývajú „Mumblehard“, úspešne infikuje webové servery bežiace na Linuxe a BSD už viac ako päť rokov..

Napriek tomu, že bol malware v roku 2009 nahraný na VirusTotal, malware sa odvtedy do značnej miery nezistil a len za posledných šesť mesiacov sa jeho veľkosť zdvojnásobila, čo viedlo k botnetu schopnému odpáliť obrovské množstvo spamových e-mailov..

Vedci z antivírusovej spoločnosti ESET sa prvýkrát dozvedeli o Mumblehard potom, čo správca systémov požiadal o pomoc potom, čo zistil, že jeden z ich serverov bol zaradený na čiernu listinu na odosielanie spamu.

Od tej doby ESET monitoruje botnet niekoľko mesiacov a objavuje jeho príkazový a kontrolný mechanizmus a 8 867 jedinečných IP adries, ktoré sú k nemu pripojené, z ktorých 3 000 bolo pridané iba za posledné tri týždne..

Tiež zistili, že Mumblehard má dve kľúčové zložky - jednu, ktorá je zodpovedná za spam a druhú, ktorá funguje ako backdoor. Zistilo sa, že obidve komponenty boli napísané pomocou Perlu a obsahujú rovnaký užívateľský paker napísaný v jazyku zostavy.

V 23-stranovej správe vydanej spoločnosťou ESET výskumníci napísali:

„Škodlivý softvér zameraný na servery Linux a BSD je čoraz komplexnejší. Skutočnosť, že autori používali vlastný balič na skrytie zdrojového kódu Perlu, je do istej miery sofistikovaná. Rozhodne to však nie je také zložité ako operácia Windigo, ktorú sme dokumentovali v roku 2014. Je však znepokojujúce, že operátori Mumblehardu pôsobia mnoho rokov bez prerušenia. “

Zdá sa, že ďalšie vyšetrovanie Mumblehard ho spája s Yellsoft, spoločnosťou predávajúcou DirectMailer, automatizovaný systém distribúcie e-mailov, ktorý umožňuje užívateľovi posielať správy anonymne.

DirectMailer, ktorý je tiež napísaný v jazyku Perl a beží na systémoch typu UNIX, je k dispozícii za 240 dolárov, hoci je zaujímavé poznamenať, že vývojári skutočne odkazujú na stránky ponúkajúce prasknutú kópiu softvéru. Ak to nie je dosť zatienené, upozorňujú tiež na to, že nie sú schopní poskytnúť pirátskym verziám softvéru technickú podporu..

Hľa, hľa, vedci spoločnosti ESET následne zistili, že prasknutá kópia softvéru obsahuje zadné dvere Mumblehard, čo znamená, že po nainštalovaní môže operátor botnetu zaslať prostredníctvom infikovaného zariadenia prenos spamu a proxy. Nie je známe, či oficiálna verzia DirectMailer obsahuje malware.

Vedci pokračujú v analýze toho, ako sa Mumblehard inštaluje do systému, av súčasnosti sa domnievajú, že okrem pirátskeho softvéru DirectMailer môžu byť systémy tiež ohrozené, ak prevádzkujú zraniteľnú verziu systémov na správu obsahu Joomla alebo WordPress..

Preto je odporúčanie spoločnosti ESET správcom systémov zrejmé - neustále aktualizujte operačné systémy a aplikácie pomocou záplat a uistite sa, že spúšťate bezpečnostný softvér od renomovaného dodávateľa..

Správcovia môžu tiež hľadať nevysvetlené úlohy cron bežiace na serveroch - Mumblehard ich používa na vytáčanie domov pre svoje príkazové a kontrolné servery presne každých 15 minút.

Zadné vrátka sa zvyčajne nachádzajú aj v priečinkoch / tmp alebo / var / tmp a je možné ich zrušiť zrušením pripojenia týchto adresárov s príznakom noexec..

Odporúčaný obrázok: Derek Quantrell / Public Domain Pictures.net

Neobjavený malware premení servery Linux a BSD na spamové botnety
admin Author
Sorry! The Author has not filled his profile.