Архив новостей

«Зевс» децентрализует свои владения

Эксперты ZeusTracker обнаружили многотысячный р2р-ботнет, сформированный на основе ZeuS.

Как показал анализ, новый бот, распространяемый в спаме, ― не что иное, как заказная сборка на базе версии ZeuS, снабженной генератором доменов. В ZeusTracker определили ее как доработанную модификацию Murofet. Следует отметить, что наличие алгоритма генерации доменов в арсенале зловреда сильно осложняет работу исследователей, пытающихся отследить его центры управления в Сети. Однако на сей раз создатели ботнета решили усилить защиту командной инфраструктуры путем реорганизации и вынесли канал обновлений на уровень р2р-сети.

После инсталляции новый ZeuS пытается связаться с пирами, используя список IP-адресов, жестко прописанный в коде. Поиск активного рабочего узла осуществляется путем отсылки UDP-пакетов на портах с многозначным номером. В случае успеха новичок получает текущие адреса участников р2р-сети и информацию о версии кода и конфигурационного файла. Если они окажутся более актуальными, чем собственные, троянец закачивает обновление, соединяясь с удаленным узлом через TCP-порт. После этого он по http-каналу подключается к командному серверу, используя текущий домен, прописанный в конфигурационном файле.

Протокол http используется лишь для отправки украденных данных на коллектор и/или получения команд от ботмастера. Что касается генератора доменов, модифицированный ZeuS задействует его лишь в том случае, когда прочие C&C каналы недоступны. По словам экспертов, новая структура ботнета, безусловно, затруднит мониторинг деятельности троянца, но и этот метод самозащиты имеет свои недостатки. Поскольку в конкретный период времени в сети активен лишь один C&C домен, в случае его блокировки ботоводам придется срочно обновлять конфигурационный файл.

ZeusTracker удалось подменить несколько контроллеров нового ботнета, что позволило оценить масштабы заражения и определить ареал обитания новой модификации ZeuS. К настоящему времени исследователи насчитали порядка 80 тыс. уникальных IP-адресов, активно участвующих в р2р-обмене. Наибольшее количество заражений обнаружено в Индии (свыше 70 тыс.), немногим меньше ― в Италии и США (67 и 63 тыс. соответственно). Результаты наблюдений позволили также заключить, что ботоводы сдают свою сеть в аренду.

«Зевс» децентрализует свои владения

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике