Necro Python бот, преработен с нова VMWare, сървърни експлойти

Неотдавнашната бот кампания на Necro Python показа, че разработчикът зад зловредния софтуер работи усилено, увеличавайки възможностите си.

В четвъртък изследователи от Cisco Talos публикуваха доклад за Necro Python, бот, който се разработва от 2015 г. Напредъкът в развитието на ботнета е документиран през януари 2021 г. и от двамата Проучване на Check Point (CPR) и Netlab 360, проследява се отделно като FreakOut и Necro.

Разработчикът зад бота Necro Python е направил редица промени, за да увеличи мощността и гъвкавостта на бота, включително експлойти за над 10 различни уеб приложения и SMB протокола, които са били въоръжени в последните кампании на бота. Включени са експлойти за уязвимости в софтуер като VMWare vSphere, SCO OpenServer и контролния панел на Vesta.

Версия на ботнета, пусната на 18 май, също включва експлойти за EternalBlue (CVE-2017-0144) и EternalRomance (CVE-2017-0147).

Ботът първо ще се опита да използва тези уязвимости както на Linux, така и на Windows базирани операционни системи. Ако успее, зловредният софтуер използва изтеглящ JavaScript, интерпретатор и скриптове на Python и изпълними файлове, създадени с pyinstaller, за да започне да въвежда компрометираната система в ботнета като подчинена машина.

След това Necro Python ще установи връзка със сървър за командване и управление (C2), за да поддържа контакт със своя оператор, да получава команди, да екфилтрира данни или да разгръща допълнителни полезни товари от злонамерен софтуер.

Ново допълнение към бота е майнер за криптовалута, XMRig, който се използва за генериране на Monero (XMR) чрез кражба на изчислителните ресурси на компрометираната машина.

“Ботът също така инжектира кода, за да изтегли и изпълни базиран на JavaScript майнер от контролиран от нападател сървър в HTML и PHP файлове на заразени системи”, казват изследователите. „Ако потребителят отвори заразеното приложение, базиран на JavaScript Monero майнер ще работи в процесното пространство на браузъра си.“

Други функции включват възможността за стартиране на разпределени атаки за отказ на услуга (DDoS), дефилтрация на данни и мрежово подушаване.

Инсталиран е и руткит в потребителски режим, за да се установи постоянството, като се осигури стартирането на зловредния софтуер, когато потребителят влезе в системата, и да се скрие присъствието му чрез погребване на злонамерени процеси и записи в системния регистър.

Друго подобрение на бележката са полиморфните способности на Necro Python. Според изследователите ботът има модул, който позволява на разработчиците да виждат код, както би бил видян от интерпретатор, преди да бъде компилиран в байт код, и този модул е ​​интегриран в двигател, който може да позволи модификации по време на изпълнение.

Двигателят работи всеки път, когато ботът се стартира и той ще прочете собствения си файл, преди да преобразува кода, техника, която може да направи откриването на ботове по-трудно.

“Necro Python bot показва актьор, който следва най-новото развитие в експлоатите за отдалечено изпълнение на команди на различни уеб приложения и включва новите експлойти в бота”, казва Талос. “Това увеличава шансовете му за разпространение и заразяване на системи. Потребителите трябва да се уверят, че редовно прилагат най-новите актуализации на защитата за всички приложения, а не само за операционните системи.”


Имате съвет? Свържете се сигурно чрез WhatsApp | Сигнал на +447713 025 499 или повече в Keybase: charlie0


Публикациите се превеждат автоматично с google translate

Източник: www.zdnet.com