Xakep #238. Забытый Android

• Содержание выпуска


• Подписка на «Хакер»

Исследователи компании Check Point опубликовали традиционный отчет Global Threat Impact Index за январь 2019 года. Специалисты предупредили, что бэкдор-троян SpeakUp, сейчас распространяющий майнинговую малварь, стал одной из наиболее активных угроз прошлого месяца.

Напомню, что атаки  SpeakUp нацелены в основном на серверы в Восточной Азии и Латинской Америке, включая машины, размещенные на AWS. При этом малварь может представлять опасность не только для шести дистрибутивов Linux, но также для устройств на macOS.

Ранее аналитики Check Point уже писали, что малварь поставляется вместе со встроенным Python-скриптом, который используется для распространения заражения в локальной сети. Скрипт сканирует локальную сеть и ищет открытые порты, брутфорсит «соседние» системы, используя заранее подготовленный список логинов и паролей, а затем пытается применить против них один из семи эксплоитов из своего арсенала.

В настоящее время хак-группа, использующая SpeakUp, применяет бэкдор для установки майнинговой малвари на зараженные серверы. Таким способом хакеры добывают криптовалюту Monero. Однако малварь способна доставлять любую полезную нагрузку и запускать ее на скомпрометированных машинах, из-за чего исследователи Check Point рассматривают Speakup как серьезную угрозу.

Помимо SpeakUp в январе первые четыре строчки рейтинга самых активных вредоносных программ уже традиционно заняли криптовалютные майнеры. Coinhive остается главным вредоносным ПО, атаковавшим 12% организаций по всему миру. XMRig снова стал вторым по распространенности зловредом (8%), за которым последовал майнер Cryptoloot (6%).

Несмотря на то, что в январском отчете представлены четыре майнера, половина всех вредоносных форм из первой десятки может использоваться для загрузки дополнительного вредоносного ПО на зараженные машины.

«В январе произошли небольшие изменения в формах вредоносных программ, ориентированных на организации по всему миру, однако мы находим все новые способы распространения вредоносных программ. Подобные угрозы являются серьезным предупреждением о грядущих угрозах. Бэкдоры, такие как Speakup, могут избежать обнаружения, а затем распространять потенциально опасное вредоносное ПО на зараженные машины. Поскольку Linux широко используется именно на корпоративных серверах, мы ожидаем, что Speakup станет угрозой для многих компаний, масштабы и серьезность которой будут расти в течение года, — комментирует Василий Дягилев, глава представительства Check Point Software Software Technologies в России и СНГ. — Кроме того, второй месяц подряд в тройке самых активных вредоносных программ в России оказывается BadRabbit. Так что злоумышленники используют все возможные уязвимости для получения прибыли».

Самые активные угрозы января 2019:

• <-> Coinhive(12%) —  майнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты. Встроенный jаvascript использует большое количество вычислительных ресурсов компьютеров конечных пользователей для майнинга и может привести к сбою системы;


• ?XMRig (8%) — ПО с открытым исходным кодом, впервые обнаруженное в мае 2017 года. Используется для майнинга криптовалюты Monero;


• ? Cryptoloot (6%) — майнер, использующий мощность ЦП или видеокарты жертвы и другие ресурсы для майнинга криптовалюты.

Что касается мобильных угроз, здесь Hiddad, модульный бэкдор для Android, который предоставляет привилегии загружаемой малвари, заменил Triada на первом месте. На втором месте расположился Lotoor, в то время как троян Triada спустился на третье место.

Самые активные мобильные угрозы января 2019:

• Hiddad — модульный бэкдор для Android, который предоставляет права суперпользователя загруженной малвари, а также помогает внедрить ее в системные процессы;


• Lotoor — использует уязвимости в операционной системе Android, чтобы получить привилегированный root-доступ на взломанных мобильных устройствах;


• Triada — модульный троян для Android, который предоставляет привилегии суперпользователя для загружаемой малвари, а также помогает внедрить ее в системные процессы.

Выводы аналитиков Check Point прокомментировал Алексей Мальнев, руководитель центра мониторинга и реагирования на инциденты ИБ Jet CSIRT компании «Инфосистемы Джет»:

«В отличие от большинства современных угроз, троян SpeakUP доставляется через веб-канал связи и на Linux-серверы. Обычно для этих целей злоумышленники используют email, а угрозы, как правило, нацелены на платформы Microsoft Windows.

Не удивительно, что большинство известных антивирусов пока не способны обнаружить угрозу. Причина в том, что 75% успешных атак реализуются с помощью 0-day уязвимостей, которые разрабатываются для преодоления известных сигнатурных средств защиты. Обнаружить подобные угрозы можно с помощью систем мониторинга веб-трафика (Web Application Firewall): например, они позволяют выявить попутки загрузки шелл-кода. Также полезно использовать комплекс систем поведенческого анализа — с их помощью можно обнаружить аномалии в сетевом трафике, поведении пользователей и запущенных процессах. Если же заражение произошло, то здесь поможет мониторинг инцидентов ИБ. С его помощью можно обнаружить вредоносную активность на этапе горизонтального распространения в инфраструктуре — до финальной реализации угрозы».

Теги: CSS, Point Check вредоносных активных майнинга