Архив новостей

Два миллиона высокопоставленных зомби

Исследователи компании Finjan обнаружили ботнет из 1,9 миллиона зараженных ПК, многие из которых работают в сетях американских и английских правительственных учреждений, крупнейших корпораций и университетов.

Данные, найденные на управляющем сервере ботнета, который находится на территории Украины, свидетельствуют, что он функционирует с февраля 2009 года. Шестеро совладельцев ботнета, используя широкую сеть партнерских программ, сдавали его в аренду через подпольные онлайн-форумы, взимая в среднем 100 долларов за 1000 зомби-машин.

Программа удаленного администрирования, используемая злоумышленниками, автоматически загружается на компьютер жертвы троянцем-даунлоудером при посещении зараженных веб-сайтов. Она эксплуатирует уязвимости браузеров Internet Explorer и Firefox, а также формата pdf. По данным Finjan, в настоящее время ее детектируют только 4 из 39 современных антивирусных продуктов.

Приложение, управляющее инфицированными ПК, позволяет реализовать множество функций, в том числе загрузку и исполнение программ копирования файлов, регистрации нажатий клавиш, рассылки спама.

Как выяснилось, большая часть приобщенных к новому ботнету компьютеров оснащена ОС Windows XP. По оценке экспертов, 45% зараженных машин находится на территории США, 6% — в Великобритании, немногим меньше – в Канаде, Германии и Франции. Многие из них привязаны к 77 доменам в зоне .gov, а в Великобритании новоявленной инфекцией поражены более 500 корпоративных сетей.

Найденную информацию Finjan передала правоохранительным органам США и Великобритании, уведомив о заражениях заинтересованные ведомства и бизнес-структуры. В настоящее время командный сервер обнаруженного ботнета отключен.
ФБР и лондонская полиция разыскивают его владельцев, чтобы предотвратить перенос управляющих функций ботнета на другой веб-хостинг.

Два миллиона высокопоставленных зомби

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике