Перейти к публикации
1
1
1
1
1
RabbitRun

Ботнет BondNet успешно майнит криптовалюту Monero, заражая Windows-серверы

Рекомендованные сообщения

Исследователи компании GuardiCore обнаружили ботнет, состоящий из 15 000 серверов, которые в настоящее время используются для майнинга криптовалюты и приносят своему оператору около $1000 в день (примерно $25 000 в месяц).

Аналитики пишут, что ботнет появился в декабре 2016 года, но быстро разросся до 15 000 машин, работающих под управлением Windows Server, из которых примерно 2000 активны ежедневно. Специалисты GuardiCore полагают, что оператор ботнета находится на территории Китая, и, судя по обнаруженным в коде комментариям, он скрывается под псевдонимом Bond007.01. Именно поэтому ботнет получил название BondNet.

 
Diag_3517-2-1040x900.jpg Инфраструктура BondNet

В настоящее время BondNet используется для майнинга криптовалюты. В основном Bond007.01 интересует Monero, но также зараженные серверы майнили ByteCoin, RieCoin и ZCash.

Быстрый рост ботнета эксперты объясняют тем, что злоумышленник не жалеет сил и времени на «развитие» BondNet. Известно, что Bond007.01 полагается на разные техники, комбинирует различные эксплоиты и брутфорс-атаки, взламывая как системы с ненадежными учетными данными RDP, так и более защищенные машины. В последнем случае злоумышленник эксплуатирует различные уязвимости в phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic и так далее.

attack_vectors-1.png Векторы атак

Если взлом удался, Bond007.01 устанавливает на сервер RAT с функциональностью Windows Management Interface (WMI) бэкдора и криптовалютный майнер, чтобы сервер приносил прибыль. Кроме того, зараженные серверы используют WinEggDrop (сканер TCP портов) для поиска новых жертв.

Исследователи сообщают, что все пострадавшие машины работали под управлением Windows Server, и более половины под управлением Windows Server 2008 R2.

victims_by_os.png

К своему отчету специалисты GuardiCore также приложили специальный инструмент, который призван помочь администраторам обнаружить заражение и удалить ботов Bondnet из своих систем.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Создайте аккаунт или войдите в него для комментирования

Вы должны быть пользователем, чтобы оставить комментарий

Создать аккаунт

Зарегистрируйтесь для получения аккаунта. Это просто!

Зарегистрировать аккаунт

Войти

Уже зарегистрированы? Войдите здесь.

Войти сейчас

×
×
  • Создать...