Το άγνωστο κακόβουλο λογισμικό μετατρέπει τους διακομιστές Linux και BSD σε spamming botnets

[ware_item id=33][/ware_item]

mumblehard-botnets


Μια νέα οικογένεια κακόβουλου λογισμικού, που ονομάστηκε "Mumblehard" από ερευνητές ασφαλείας, μολύνει με επιτυχία τους διακομιστές ιστού που εκτελούνται σε Linux και BSD για περισσότερο από πέντε χρόνια.

Παρά το γεγονός ότι μεταφορτώθηκε στο VirusTotal το 2009, το κακόβουλο λογισμικό έχει παραμείνει σε μεγάλο βαθμό ανυπαρξία δεδομένου ότι, μόνο τους τελευταίους έξι μήνες, έχει διπλασιαστεί σε μέγεθος, οδηγώντας σε ένα botnet ικανό να ανατινάξει ένα τεράστιο ποσό email spam.

Ερευνητές από την εταιρεία προστασίας από ιούς Η ESET αρχικά γνώριζε το Mumblehard αφού ζήτησε βοήθεια από διαχειριστή συστημάτων, αφού ανακάλυψε ότι ένας από τους διακομιστές του ήταν μαύρος για αποστολή spam.

Από τότε, το ESET έχει παρακολουθήσει το botnet για αρκετούς μήνες, ανακαλύπτοντας τον μηχανισμό εντολών και ελέγχου του καθώς και 8.867 μοναδικές διευθύνσεις IP που συνδέονται με αυτό, 3.000 από τις οποίες προστέθηκαν μόνο τις τρεις τελευταίες εβδομάδες.

Ανακάλυψαν επίσης ότι το Mumblehard διαθέτει δύο βασικά στοιχεία - το ένα που είναι υπεύθυνο για τη λειτουργία spam, και ένα άλλο που λειτουργεί ως backdoor. Και τα δύο συστατικά βρέθηκαν να έχουν γραφτεί χρησιμοποιώντας Perl και να περιέχουν τον ίδιο προσαρμοσμένο συσκευαστή γραμμένο σε γλώσσα συναρμολόγησης.

Σε μια 23-σελίδα έκθεση που εξέδωσε το ESET, οι ερευνητές έγραψαν:

"Τα κακόβουλα προγράμματα που απευθύνονται σε διακομιστές Linux και BSD καθίστανται όλο και πιο πολύπλοκοι. Το γεγονός ότι οι συγγραφείς χρησιμοποίησαν έναν προσαρμοσμένο συσκευαστή για να αποκρύψουν τον πηγαίο κώδικα του Perl είναι κάπως εξελιγμένος. Ωστόσο, είναι σίγουρα όχι τόσο περίπλοκο όσο η επιχείρηση Windigo που τεκμηριώσαμε το 2014. Παρόλα αυτά, είναι ανησυχητικό το γεγονός ότι οι φορείς εκμετάλλευσης του Mumblehard δραστηριοποιούνται εδώ και πολλά χρόνια χωρίς διακοπή ».

Περαιτέρω έρευνα σχετικά με το Mumblehard φαίνεται να συνδέεται με Yellsoft, μια εταιρεία που πωλεί DirectMailer, ένα αυτοματοποιημένο σύστημα ηλεκτρονικής διανομής που επιτρέπει στο χρήστη να στέλνει μηνύματα ανώνυμα.

Το DirectMailer, το οποίο είναι επίσης γραμμένο σε Perl και λειτουργεί σε συστήματα τύπου UNIX, είναι διαθέσιμο για $ 240, αν και είναι ενδιαφέρον να σημειώσουμε ότι οι προγραμματιστές συνδέονται στην πραγματικότητα με έναν ιστότοπο που προσφέρει ένα σπασμένο αντίγραφο του λογισμικού. Σαν να μην είναι αρκετά σκιερό, σημειώνουν επίσης ότι δεν είναι σε θέση να παράσχουν οποιαδήποτε τεχνική υποστήριξη για πειρατικές εκδόσεις του λογισμικού.

Λοιπόν, οι ερευνητές του ESET ανακάλυψαν στη συνέχεια ότι το ραγισμένο αντίγραφο του λογισμικού περιέχει το backdoor Mumblehard, που σημαίνει ότι μόλις εγκατασταθεί, ο χειριστής του botnet μπορεί στη συνέχεια να στείλει ανεπιθύμητη αλληλογραφία και κυκλοφορία μεσολάβησης μέσω της μολυσμένης συσκευής. Το εάν η επίσημη έκδοση του DirectMailer περιέχει το κακόβουλο λογισμικό δεν είναι γνωστό.

Οι ερευνητές συνεχίζουν να αναλύουν τον τρόπο με τον οποίο εγκαθίσταται η Mumblehard σε ένα σύστημα και πιστεύουν ότι πέρα ​​από το πειρατικό λογισμικό DirectMailer, τα συστήματα ενδέχεται να διατρέχουν τον κίνδυνο να τρέξουν μια ευάλωτη έκδοση των συστημάτων διαχείρισης περιεχομένου Joomla ή WordPress.

Ως εκ τούτου, οι συμβουλές της ESET προς τους διαχειριστές συστημάτων είναι προφανείς - διατηρήστε τα λειτουργικά συστήματα και τις εφαρμογές πλήρως ενημερωμένες με ενημερωμένες εκδόσεις κώδικα και βεβαιωθείτε ότι έχετε τρέξει λογισμικό ασφαλείας που παρέχεται από αξιόπιστο προμηθευτή.

Οι διαχειριστές μπορούν επίσης να ψάξουν για ανεξήγητες εργασίες cron που εκτελούνται σε διακομιστές - το Mumblehard τα χρησιμοποιεί για να καλέσει το σπίτι στους κεντρικούς υπολογιστές εντολών και ελέγχου ακριβώς κάθε 15 λεπτά.

Επίσης, το backdoor βρίσκεται συνήθως μέσα στους / tmp ή / var / tmp φακέλους και μπορεί να ακυρωθεί με την τοποθέτηση αυτών των καταλόγων με τη σημαία noexec.

Προτεινόμενη εικόνα: Derek Quantrell / Public Domain Pictures.net

Το άγνωστο κακόβουλο λογισμικό μετατρέπει τους διακομιστές Linux και BSD σε spamming botnets
admin Author
Sorry! The Author has not filled his profile.