Ботнет взламывает web-оболочки других киберпреступников

Исследователи безопасности из компании Positive Technologies рассказали о новой тактике операторов ботнета Neutrino. По их словам, они уже больше года атакуют web-оболочки других киберпреступников и заражают их серверы.

Ранее вредонос распространялся через вложения в электронных письмах и наборы эксплойтов. Теперь он взял на себя роль ботнета, сканируя сеть в поисках разных web-приложений и серверов для брутфорса административных панелей. Далее он перебирает оболочки и начинает эксплуатировать уязвимости. По мнению исследователей, целью данных атак является добыча криптовалюты на зараженных серверах.

В ходе взлома ботнет Neutrino использует разные методы. Он не только эксплуатирует старые и новые уязвимости, но также ищет оставленные без пароля серверы phpMyAdmin и брутфорсит учетные записи cуперпользователей phpMyAdmin, Tomcat и MS-SQL.

Специалисты также отметили странные черты в поведении обновленного Neutrino. В июне 2018 года он искал открытые узлы Ethereum и позволил злоумышленникам украсть до $20 млн.

Также Neutrino занимается взломом web-оболочек. Список жертв включает в себя 159 адресов с уникальными параметрами (PHP и JSP-оболочки). Вредонос исполняет простые команды и тем самым брутфорсит оболочки «конкурентов».