Часи, коли шкідливого ПЗ для Linux практично не існувало, давно минули. В цей час повідомлення про загрози для Linux з’являються майже щотижня.
Фахівці ІБ-компанії Intezer Labs представили детальний аналіз нового трояна Doki, який взяло на озброєння кіберзлочинне угруповання Ngrok, що спеціалізується на майнінгу криптовалют.
Угруповання, активне з 2018 року, отримало свою назву через початкове використання сервісу Ngrok для хостингу своїх C&C-серверів. Однак, за даними Intezer Labs, в нинішньому році воно змінило тактику і тепер атакує установки Docker, де зберігаються незахищені API.
У вивчених дослідниками атаках за допомогою Docker API кіберзлочинці розгортали нові сервери всередині хмарної інфраструктури цілі. Ці сервери працювали на Alpine Linux і були заражені шкідливим ПЗ для майнінгу криптовалют і трояном Doki.
Doki надає атакуючим контроль над знову розгорнутими серверами Alpine Linux і тим самим дозволяє їм стежити, щоб операція з видобутку криптовалюти проходила як годиться. Хоча в такому функціоналі немає нічого незвичайного, за словами дослідників, Doki все ж сильно відрізняється від інших подібних троянів.
Зокрема, дослідників зацікавило, як Doki визначає URL-адресу C&C-сервера, до якого потрібно підключитися для отримання інструкцій. На відміну від інших подібних троянів, що підключаються до вшитих у вихідний код IP- або URL-адрес, Doki використовує динамічний алгоритм DGA (domain generation algorithm). DGA дозволяє трояну визначати адресу C&C-сервера за допомогою Dogecoin API. Тобто, оператори трояна можуть міняти сервер, з якого він отримує команди, здійснивши всього одну транзакцію з підконтрольного їм Dogecoin-гаманця.
Якщо DynDNS (ddns.net) отримує звіт про зловживання поточною URL-адресою C&C-сервера Doki і від’єднує його, операторам Ngrok досить лише здійснити нову транзакцію, визначити значення піддомена, налаштувати новий обліковий запис DynDNS і отримати піддомен.
Цей механізм є ефективним способом захисту від відключення бекенда-інфраструктури Doki правоохоронними органами. Для того щоб це зробити, правоохоронцям необхідно захопити контроль над належним Ngrok гаманцем Dogecoin, а це неможливо без криптографічного ключа.
Радимо звернути увагу на поради, про які писав Cybercalm, а саме:
ЯК ОЧИСТИТИ КЕШ ТА ФАЙЛИ COOKIES У БРАУЗЕРІ FIREFOX? – ІНСТРУКЦІЯ
ПОРАДИ ЩОДО ОРГАНІЗАЦІЇ СВОЇХ ДОДАТКІВ ДЛЯ IPHONE АБО IPAD
ЯК ЗАПОБІГТИ ДЕФРАГМЕНТАЦІЇ ТВЕРДОТІЛОГО НАКОПИЧУВАЧА SSD? ІНСТРУКЦІЯ
НАВІЩО ПОТРІБЕН МЕНЕДЖЕР ПАРОЛІВ ТА ЯК ПРАВИЛЬНО ЙОГО ОБРАТИ?
ЯК ЗАБОРОНИТИ GOOGLE ЗБИРАТИ ВАШІ ДАНІ ТА НАЛАШТУВАТИ ЇХНЄ АВТОВИДАЛЕННЯ? ІНСТРУКЦІЯ
Ноутбук та рідина – це погана комбінація, але трапляються випадки, коли вони все ж таки “об’єднуються”. Про те, що робити, якщо це сталося, читайте у статті.
Також після тестування стало відомо, що надзвичайно популярний сьогодні додаток – TikTok, зберігає вміст буфера обміну кожні кілька натискань клавіш. Цей факт насторожив багатьох користувачів, але TikTok лише один із 53 додатків, які зберігають інформацію про користувачів таким чином.
Стало відомо, що мешканець Житомирщини підмінив міжнародного мобільного трафіку на понад півмільйона гривень. Крім цього, встановлено інші злочинні осередки які здійснюють підміну міжнародного трафіку в різних регіонах країни.
До речі, хакери використовували шкідливе програмне забезпечення, через яке викрадали реквізити банківських електронних рахунків громадян США, Європи, України та їхні персональні дані. Зокрема, через електронні платіжні сервіси, у тому числі заборонені в Україні російські, вони переводили викрадені гроші на власні рахунки у вітчизняних та банках РФ і привласнювали.
Хакери зараз користуються сервісом Google Analytics для крадіжки інформації про кредитні картки із заражених сайтів електронної комерції. Відповідно до звітів PerimeterX та Sansec, хакери зараз вводять шкідливий код, призначений для крадіжки даних на компрометованих веб-сайтах.