Исследователи обнаружили масштабную вредоносную кампанию ботнета Neutrino, направленную на внедрение майнеров на веб-серверы. Ее отличительная черта — агрессивное поведение по отношению к конкурентам: при обнаружении стороннего вредоносного ПО Neutrino взламывает его веб-интерфейс и перехватывает управление. Аналитики полагают, что все происходящее представляет собой очередной этап эволюции трояна, также известного как Kasidet. Этот зловред на пике своей популярности генерировал до 85% трафика эксплойт-паков. Со временем операторы свернули его активность, однако теперь Neutrino возвращается в виде криптоботнета. Показать связанные сообщения Шпионское приложение пришлось дважды удалять из Google Play 23 августа 2019 , 19:12 Kaspersky: DDoS-атаки профессионалов участились 11 августа 2019 , 13:31 Обновленный ботнет Echobot нарастил число эксплойтов до 61 11 августа 2019 , 09:42 Зловред заражает веб-серверы через целый набор уязвимостей: атакует Oracle WebLogic через CVE 2017-10271 и CVE-2018-2628; взламывает Apache Struts 2 с помощью CVE-2017-5638; ищет системы phpMyAdmin без защиты или со слабыми паролями. Помимо функции сканирования, в коде Neutrino также предусмотрена возможность принимать команды с удаленного сервера и делать снимки экрана. Но наибольший интерес экспертов вызвали опции, направленные против других киберпреступников. Так, зловред умеет похищать токены Ethereum из незащищенных хранилищ, используя список дефолтных паролей. По словам специалистов, в июне 2018 года преступники похитили таким образом криптовалюту на сумму в 20 млн долларов. Второй вектор атаки направлен на сторонние бэкдоры, которые Neutrino ищет в пораженных системах. Зловред определяет 162 различные веб-оболочки, используемые для скрытого доступа к интернет-серверам. При их обнаружении он пытается подобрать к ним код доступа и в случае успеха берет бэкдор под контроль. Таким образом, Neutrino поглощает конкурирующие ботнеты. Как установили исследователи, основную часть жертв нынешней кампании составляют Windows-серверы, на которых работает система phpStudy. Это виртуальная образовательная среда, которую используют многие веб-разработчики. Кроме того, среди зараженных серверов обнаружилось 20 тыс. систем phpMyAdmin — зловред взламывает их через уязвимость CVE-2010-3055. В тех случаях, когда на целевой системе установлен патч для этого бага, преступники пытаются подобрать пароль, чтобы удалить с сервера данные и потребовать за них выкуп. Специалисты рекомендуют пользователям phpMyAdmin установить сильный пароль для основного аккаунта и проверить наличие всех обновлений безопасности. За время исследования Neutrino несколько раз обновился, получив новые эксплойты. Это говорит о том, что операторы зловреда активно поддерживают свой продукт, а значит, в ближайшее время его угроза будет только расти. https://threatpost.ru/neutrino-reincarnation-as-a-botnet-devours-competitors/33857/