Необнаруженное вредоносное ПО превращает серверы Linux и BSD в спам-ботнеты

mumblehard-ботнета


Новое семейство вредоносных программ, названное исследователями безопасности «Mumblehard», уже более пяти лет успешно заражает веб-серверы, работающие на Linux и BSD..

Несмотря на то, что вредоносная программа была загружена в VirusTotal в 2009 году, с тех пор она практически не обнаруживалась и только за последние шесть месяцев увеличилась в два раза, что привело к созданию ботнета, способного уничтожать огромное количество спам-писем..

Исследователи из антивирусной компании ESET впервые узнали о Mumblehard после того, как системный администратор запросил помощь, обнаружив, что один из их серверов занесен в черный список для отправки спама..

С тех пор ESET осуществлял мониторинг ботнета в течение нескольких месяцев, обнаруживая свой механизм управления и контроля, а также 8 867 уникальных IP-адресов, подключенных к нему, 3000 из которых были добавлены только за последние три недели..

Они также обнаружили, что Mumblehard обладает двумя ключевыми компонентами – один отвечает за операцию спама, а другой действует как бэкдор. Было обнаружено, что оба компонента написаны с использованием Perl и содержат один и тот же пользовательский упаковщик, написанный на языке ассемблера.

В отчете ESET на 23 страницах исследователи написали:

«Вредоносные программы, ориентированные на серверы Linux и BSD, становятся все более и более сложными. Тот факт, что авторы использовали пользовательский упаковщик, чтобы скрыть исходный код Perl, несколько сложен. Тем не менее, он определенно не такой сложный, как операция Windigo, которую мы зафиксировали в 2014 году. Тем не менее, вызывает беспокойство тот факт, что операторы Mumblehard работали в течение многих лет без сбоев ».

Дальнейшее расследование Mumblehard, похоже, связывает его с Yellsoft, компанией, продающей DirectMailer, автоматизированную систему рассылки электронной почты, которая позволяет пользователю отправлять сообщения анонимно.

DirectMailer, также написанный на Perl и работающий на системах типа UNIX, доступен за 240 долларов, хотя интересно отметить, что разработчики фактически ссылаются на сайт, предлагающий взломанную копию программного обеспечения. Как будто этого недостаточно, они также отмечают, что не могут предоставить техническую поддержку пиратским версиям программного обеспечения..

И вот, исследователи ESET впоследствии обнаружили, что взломанная копия программного обеспечения содержит бэкдор Mumblehard, а это означает, что после установки оператор ботнета может отправлять трафик спама и прокси через зараженное устройство. Независимо от того, содержит ли официальная версия DirectMailer вредоносное ПО, неизвестно.

Исследователи продолжают анализировать, как Mumblehard устанавливает себя в системе, и в настоящее время считают, что помимо пиратского программного обеспечения DirectMailer системы также могут подвергаться риску, если работают уязвимая версия систем управления контентом Joomla или WordPress..

Поэтому совет ESET системным администраторам очевиден – постоянно обновляйте операционные системы и приложения с помощью исправлений и обязательно запускайте программное обеспечение для обеспечения безопасности, предоставляемое известным поставщиком..

Администраторы также могут следить за необъяснимыми заданиями cron, выполняющимися на серверах – Mumblehard использует их, чтобы звонить домой к своим командным и управляющим серверам ровно каждые 15 минут..

Кроме того, бэкдор обычно находится в папках / tmp или / var / tmp и может быть аннулирован путем монтирования этих каталогов с флагом noexec..

Главное изображение: Дерек Квантрелл / Public Domain Pictures.net

Kim Martin Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map