Abcbot это Постоянно обновляющийся вирус
Группа безопасности Netlab Qihoo 360 опубликовала подробную информацию о развивающемся ПО, под названием Abcbot. Он же был замечен в дикой природе с функциями распространения вируса для заражения систем Linux и запуска распределенных атак типа «отказ в обслуживании» (DDoS) против целей. В первый раз вредоносный компьютерный вирус был замечен в Июле в 2021 году. В последствии обновлённые версии были замечены 30 Октября. Последние версии были оснащены дополнительными обновлениями для защиты веб-серверов Linux со слабыми паролями. Также они включали настраиваемую реализацию DDoS. Функциональность, указывающая на то, что вредоносная программа находится в постоянном развитии.
Выводы Netlab основаны на отчете Trend Micro в начале прошлого месяца. Там же были опубликованы кибератаки на облако Huawei которые использовали вредоносное ПО для майнинга криптовалюты и вредоносных программ для майнинга криптовалюты и криптоджекинга. Более того вмешательства были примечательны тем, что вредоносные сценарии обшивки специально отключили ход, предназначенный для отслеживания серверов на предмет проблем и ошибок по защите. Дополнительно для сброса паролей пользователей к облачной службе. На данный момент эти сценарии распространяют Abcbot. Таким образом замечено 6 версий вредоносного ПО.
Как работает Abcbot?
На взломанный хост вредоносное ПО устанавливает и запускает выполнение ряда действий. Следовательно, зараженное устройство становится веб-сервером, а также отправляет системную информацию на командный сервер (C2), распространяя вредоносное ПО на новые устройства, сканируя их открытые порты. После этого ПО само обновляется по мере того, как злоумышленники делают доступными новые функции.
«Интересный факт, что образец (обновленный 21.10.2021) использует открытый руткит чтобы реализовать функции DDoS». Система которая, по словам исследователей, «требует, чтобы Abcbot загрузил исходный код, скомпилировал и загрузил модуль руткита перед выполнением [a] DDoS-атаки. «Для данной операции требуется большое количество шагов, и любой ошибочный шаг приведет к сбою функции DDoS», отметили исследователи, что побудило злоумышленника заменить готовый код пользовательским модулем кибератаки в следующем обновлении. Которое выпущено (30.10.2021) и целиком исключает руткит ATK.
BotenaGo
Группа Netlab раскрыла подробности «розового» ботнета, который, как полагают, заразил более 1,6 миллиона устройств, расположенных в основном в Китае. Их цель была, запуском DDoS-атак и размещения рекламы на веб-сайтах HTTP, посещаемых ничего не подозревающих пользователей. В ходе связанной с этим разработки AT&T Alien Labs раскрыла новую вредоносную программу Golang, получившую название «BotenaGo». Она же использовала больше чем 30 функций повышения привилегий для возможной атаки на миллионы автомаршрутизаторов и IoT-устройств.