3518 подписчиков
#news В сетевых дебрях очередная малварь под Linux, остававшаяся в целом незамеченной несколько лет. Вредонос Perfctl активен 3-4 года и потенциально затронул тысячи серверов. Он заточен под майнинг Monero и в отдельных случаях под проксиджекинг.
Вектор атаки — неверно настроенные сервера и утёкшие данные доступа. Руткиты для скрытности, сокет Unix для внутренней коммуникации и TOR для стука вовне. Малварь также резко обрубает активность, если юзер заходит на сервер. Так, у одного юзера ЦП шкалил под 100%, но вредонос сразу отключался при логине через SSH или консоль. За счёт этого и других методов обхода обнаружения Perfctl играет с юзером в кошки-мышки. И то если последний не ленится мониторить загрузку ЦП и прочее подозрительное. Подробнее о Perfctl с IoCs в отчёте, пополняйте чёрный список.
Около минуты
4 октября