Дослідники з кібербезпеки б’ють на сполох: новий ботнет Kimwolf, що активно діє з серпня 2025 року, скомпрометував понад 1,8 мільйона Android-пристроїв по всьому світу і продовжує зростати. Смарт-телевізори та стрімінгові приставки у звичайних домівках перетворилися на зброю для масштабних кібератак — і власники цих пристроїв здебільшого навіть не підозрюють про це.

Хто і як потрапляє під удар

Оператори Kimwolf цілеспрямовано обрали своєю мішенню Android TV-пристрої: телевізори та стрімінгові приставки, які постійно увімкнені, рідко отримують оновлення безпеки та майже ніколи не перебувають під наглядом власника. Дослідники компанії Synthient, яка першою детально задокументувала Kimwolf, встановили, що зараження відбувається через кілька векторів одночасно: передвстановлене шкідливе ПЗ на нових пристроях від неперевірених виробників, шкідливі застосунки з неофіційних магазинів і відкритий ADB-порт 5555 — налагоджувальний інтерфейс Android, призначений для розробників, який на багатьох дешевих пристроях залишається відчиненим за замовчуванням.

Окремо дослідники зафіксували схему, де ботнет проникає у локальні мережі через резидентні проксі-сервіси. Як з’ясував KrebsOnSecurity, Kimwolf активно використовував проксі-мережу китайської компанії IPIDEA — найбільшого у світі провайдера резидентних проксі — щоб через підключені до неї пристрої діставатися до Android TV-приставок у домашніх мережах. Варто лише підключитися до пристрою через такий проксі-вузол та відкритий порт 5555, і зловмисник отримує повний контроль над ним з правами суперкористувача. Після повідомлення від Synthient компанія IPIDEA усунула вразливість 28 грудня 2025 року.

Масштаб і географія

За даними XLab та Synthient, станом на початок грудня 2025 року ботнет охопив понад 1,8 мільйона пристроїв у 222 країнах і регіонах. Найвища концентрація заражень зафіксована у Бразилії, Індії, США, Аргентині, ПАР та на Філіппінах — ринках, де Android TV-пристрої активно продаються, але рівень інформованості споживачів щодо кібербезпеки залишається невисоким.

Дослідники застерігають, що реальна кількість заражених пристроїв може бути ще більшою: динамічне виділення IP-адрес і постійне підключення нових пристроїв ускладнюють точний підрахунок. Важливіший за цифри сам тренд — ботнет такого масштабу на Android TV-пристроях має всі умови для подальшого зростання.

Як Kimwolf виживає після знесення інфраструктури

Особливо тривожною для фахівців є стійкість Kimwolf до протидії. Командно-контрольна інфраструктура ботнету була успішно знесена невідомими сторонами щонайменше тричі у грудні 2025 року — проте щоразу він повертався з оновленою інфраструктурою. Причина в нестандартному архітектурному рішенні: оператори використовують ENS (Ethereum Name Service) — систему доменних імен на основі блокчейну Ethereum. На відміну від звичайних DNS-доменів, ENS-записи не підлягають централізованому вилученню, тому зловмисники можуть швидко перенаправляти ботнет на нову інфраструктуру після кожного знесення.

Дослідники також встановили, що Kimwolf генетично пов’язаний із сімейством шкідливого ПЗ Aisuru, відомого своїми атаками на IoT-пристрої. Успадкований механізм перевірки командних інструкцій свідчить про те, що розробники свідомо захищають ботнет не лише від правоохоронців, а й від конкурентів, які можуть спробувати перехопити над ним контроль.

Реальні атаки і монетизація

Скомпрометовані пристрої використовуються за кількома напрямками. Основний — DDoS-атаки: Kimwolf здатний запускати до 13 різних типів розподілених атак на відмову в обслуговуванні. Пов’язаний із ним ботнет Aisuru встановив рекорд Cloudflare — DDoS-атака потужністю 29,7 Тбіт/с. Для порівняння: Microsoft нещодавно відбила атаку на 15,72 Тбіт/с, що вважалося рекордом для хмарних платформ.

Паралельно оператори монетизують ботнет через перепродаж проксі-трафіку: заражені пристрої підключаються до стороннього SDK ByteConnect і стають вузлами комерційних проксі-мереж. За оцінками дослідників, лише від цього напрямку оператори Kimwolf отримують понад 88 000 доларів на місяць. Додатково ботнет використовується для рекламного шахрайства, захоплення акаунтів і масового скрейпінгу вебсайтів.

Чому традиційний захист не спрацьовує

Трафік Kimwolf надходить із резидентних IP-адрес — тих самих діапазонів, якими звичайні користувачі дивляться стрімінгові сервіси чи працюють вдома. Блокування за IP або доменами малоефективне, оскільки ботнет поширений у мільйонах домашніх мереж по всьому світу і регулярно змінює інфраструктуру. Саме тому фахівці рекомендують переходити до поведінкового виявлення DDoS-атак, а не покладатися на статичні списки блокувань.

Практичні поради

Для звичайних користувачів найефективніші кроки — прості, але рідко виконувані. Слід перевірити, чи вимкнений режим «Налагодження по мережі» в налаштуваннях Android-пристрою, встановлювати оновлення прошивки щойно вони з’являються, а медіапристрої підключати до окремої мережі Wi-Fi, ізольованої від робочих комп’ютерів і смартфонів. Купівля Android TV-приставок від невідомих виробників без офіційної підтримки оновлень є прямим шляхом до потрапляння в ботнет. Пристрої, на яких підозрюється зараження, слід відновити до заводських налаштувань.

Для корпоративних мереж і провайдерів рекомендується моніторинг нетипових вихідних підключень з Android IoT-пристроїв, їх ізоляція в окремому мережевому сегменті та перевірка наявності підозрілих процесів — зокрема netd_services і tv_helper, а також Unix-сокетів з іменами на зразок @niggaboxv[число], які є індикаторами зараження Kimwolf.

Kimwolf — це не черговий одноразовий ботнет, а повноцінна платформа з продуманою архітектурою, що навчається на власних невдачах і повертається після кожного знесення. Поки виробники не почнуть постачати пристрої із закритими ADB-портами за замовчуванням і забезпечувати тривалу підтримку оновлень, такі ботнети матимуть невичерпне джерело нових жертв.

Ця стаття Новий ботнет Kimwolf загрожує смарт-телевізорам на Android раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Ботнет — це мережа заражених шкідливим програмним забезпеченням комп’ютерів, серверів або інших пристроїв (включаючи смартфони та IoT-пристрої), які контролюються зловмисником або групою зловмисників. Ці заражені пристрої, також відомі як “боти” або “зомбі”, працюють як єдиний “механізм” і виконують команди без відома власників.

Як створюються ботнети?

1. Інфікування: Зловмисники розповсюджують шкідливе програмне забезпечення (наприклад, через фішингові листи, заражені вебсайти або завантажувальні файли). Коли користувач завантажує цей файл або клікає на посилання, комп’ютер або пристрій інфікується.
2. Створення мережі: Інфіковані пристрої стають частиною ботнету і підключаються до центрального сервера управління.
3. Контроль: Після зараження пристрій починає отримувати команди від “ботмастера” (зловмисника, який керує мережею ботів). Заражені пристрої можуть залишатися непоміченими тривалий час, працюючи на користь злочинців у фоновому режимі.

Для чого використовують ботнети?

Ботнети є дуже потужним інструментом і можуть використовуватись для різних злочинних дій:

• DDoS-атаки (розподілені атаки на відмову в обслуговуванні): Ботнети можуть масово надсилати запити до вебсайтів або серверів, перевантажуючи їх і роблячи їх недоступними для законних користувачів. Це одна з найбільш поширених форм використання ботнетів.
• Розсилка спаму: Заражені пристрої можуть використовуватися для масової розсилки спам-листів чи фішингових повідомлень, намагаючись викрасти особисті дані.
• Крадіжка даних: Ботнети можуть збирати особисті дані (логіни, паролі, інформацію кредитних карт) і передавати їх зловмисникам.
• Майнінг криптовалют: Деякі ботнети використовують ресурси заражених пристроїв для майнінгу криптовалют без відома власників.
• Шпигунство: Зловмисники можуть використовувати ботнет для збору конфіденційної інформації, стеження за активністю користувачів або навіть для дистанційного увімкнення вебкамер та мікрофонів.

Як захиститися від ботнету?

• Антивірусне програмне забезпечення: Використання надійного антивірусу, який регулярно оновлюється, може допомогти виявити й видалити шкідливі програми.
• Оновлення програмного забезпечення: Регулярне оновлення операційних систем, програм та браузерів допомагає закривати вразливості, через які ботнети можуть проникнути до пристрою.
• Увага до підозрілих листів і файлів: Уникайте відкривати підозрілі електронні листи, переходити за небезпечними посиланнями або завантажувати файли з неперевірених джерел.
• Використання фаєрволів і захищених мереж: Це допомагає блокувати несанкціонований трафік і перешкоджає доступу до вашого пристрою ззовні.

Найвідоміші ботнети в історії

У реальному світі було багато випадків використання ботнетів для різних кіберзлочинів, від DDoS-атак до крадіжки даних. Ось кілька найбільш відомих ботнетів:

1. Botnet Mirai (2016)

Тип атаки: DDoS (розподілена відмова в обслуговуванні)

Як працював: Mirai став відомим тим, що перетворив численні пристрої Інтернету речей (IoT), такі як маршрутизатори, камери спостереження та інші побутові пристрої, в ботів. Він використовував слабкі паролі та стандартні налаштування безпеки, щоб захопити контроль над пристроями і створити величезну мережу для DDoS-атак.

Реальні наслідки: Mirai використовувався для однієї з найбільших DDoS-атак в історії на провайдера Dyn у 2016 році. Ця атака призвела до тимчасової недоступності таких популярних сайтів, як Twitter, Reddit, Netflix та багато інших в США і Європі. В результаті, Mirai інфікував сотні тисяч пристроїв по всьому світу.

2. Botnet Conficker (2008)

Тип атаки: Збір інформації, розповсюдження шкідливого ПЗ

Як працював: Conficker заражав комп’ютери з операційною системою Windows, використовуючи вразливість у системі. Він створював ботнет, через який зловмисники могли контролювати мільйони пристроїв і розповсюджувати інші віруси. Conficker постійно еволюціонував і змінював свій код, щоб уникнути виявлення.

Реальні наслідки: Вважається, що ботнет Conficker заразив близько 15 мільйонів комп’ютерів у понад 190 країнах. Він зачепив важливі організації, включаючи уряди, лікарні та військові системи.

3. Botnet Zeus (2007)

Тип атаки: Викрадення банківських даних

Як працював: Zeus був одним із найбільш відомих ботнетів для крадіжки банківських даних. Він заражав комп’ютери через фішингові листи або заражені вебсайти, а потім збирав логіни, паролі та іншу фінансову інформацію. Після того, як комп’ютер ставав частиною ботнету, зловмисники могли використовувати дані для крадіжки грошей з банківських рахунків.

Реальні наслідки: Zeus заражав мільйони комп’ютерів по всьому світу і використовувався для викрадення сотень мільйонів доларів. Одним з найбільш вражаючих інцидентів було виявлення ботнету, який складався з близько 3,6 мільйона комп’ютерів у США.

4. Botnet Emotet (2014–2021)

Тип атаки: Банківський троян, розповсюдження шкідливого ПЗ

Як працював: Emotet спочатку був створений як банківський троян, але з часом його функціонал розширився. Він почав використовуватися для розповсюдження іншого шкідливого програмного забезпечення, зокрема програм-вимагачів. Emotet заражав комп’ютери через фішингові електронні листи та використовувався для викрадення банківських даних і запуску атак на корпоративні мережі.

Реальні наслідки: Emotet був настільки потужним і поширеним, що у 2021 році він став головною мішенню міжнародної операції з його знищення. Спільними зусиллями правоохоронних органів ЄС, США та інших країн мережа Emotet була ліквідована, що зменшило ризик зараження для мільйонів користувачів.

5. Botnet Gameover Zeus (2011)

Тип атаки: Викрадення банківських даних, DDoS

Як працював: Gameover Zeus був варіацією ботнету Zeus, і його метою було викрадення банківських даних та паролів. Однак його особливість полягала в тому, що він використовував peer-to-peer (P2P) мережу, що дозволяло йому обмінюватися інформацією між зараженими пристроями без єдиного контролюючого сервера. Це ускладнювало знищення ботнету.

Реальні наслідки: Gameover Zeus заражав близько 1 мільйона комп’ютерів і викрав сотні мільйонів доларів з банківських рахунків. У 2014 році операція міжнародних правоохоронних органів призвела до відключення ботнету.

6. Methbot (2016)

Тип атаки: Шахрайство з онлайн-рекламою

Як працював: Methbot був розроблений для шахрайства з переглядами реклами. Використовуючи ботнет, зловмисники симулювали мільйони переглядів реклами, які насправді ніколи не відбувалися. Methbot створив фальшиві вебсайти, імітуючи відвідування реальних користувачів.

Реальні наслідки: За оцінками, Methbot щодня приносив своїм творцям понад 3–5 мільйонів доларів шахрайським шляхом. Це одна з найбільших схем шахрайства з рекламою, виявлених на той час.

Ці приклади показують, наскільки різноманітними можуть бути ботнети та які величезні збитки вони здатні завдати. З кожним роком ботнети стають все складнішими і небезпечнішими, тому важливо бути обережним і вживати заходів для захисту своїх пристроїв та особистих даних.

Висновок

Ботнети — це масштабна і серйозна загроза в кіберсвіті. Вони можуть використовуватися для різноманітних злочинних дій і часто залишаються непоміченими власниками пристроїв. Важливо бути обережними й регулярно вживати заходів для захисту від шкідливих програм.

Ця стаття Що таке ботнет? раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Інтернет речей (англ. – Internet of Things, IoT) глобально заполонив наше життя. Смарт-телевізори, смарт-гонники, смарт-холодильники, смарт-акустика, смарт, смарт, смарт…

Будь-який побутовий прилад, наділений “розумом” у вигляді процесора та невеликим об’ємом оперативної пам’яті, вже можна вважати смартом. Давайте з’ясуємо, чи дійсно IoT так необхідний нам та чи можливо без нього обійтися. І найголовніше – яку загрозу може нести несе уся купа “розумного” металобрухту у нашому домі.

Що таке “Інтернет речей”?

Визначення цього терміну різні, але більшість подає трактування ІоТ як “розумна побутова техніка” (наприклад, холодильник, який контролює кількість продуктів), що може мати вихід в Інтернет, — для цього у неї є всі технічні можливості (електроніка, програмне забезпечення тощо).

У чому проблема?

Будь-яка побутова техніка, підключена до Інтернету, — це вже фактор ризику , навіть якщо вона не містить вашої приватної інформації. Для створення ботнету достатньо просто великої кількості предметів, підключених через незахищені канали — типу роутерів, телевізорів чи відеокамер спостереження. Зловмисники запускали в Інтернет віруси, які заражали ці речі і об’єднували в одну мережу. Така атака не вимагає особливих хитрощів, але може виводити з ладу сервери за рахунок масовості відправлень даних (DDOS-атака).

Як це відбувається?

У більшості інструкцій з експлуатації “розумних речей” вимагають встановити або змінити пароль відразу після запуску та тестового підключення. Якщо пароль не змінюється протягом певного часу, ризик зараження зростає. Автори ботнетів, як правило, знають найрозповсюдженіші “заводські” паролі до побутової техніки. Ви ж носите ключі від квартири з собою, а не зберігаєте під килимком біля дверей, правда?

Якщо ви підключили побутову техніку до Інтернету незахищеними каналами і навіть не змінили пароль — будьте певні, що колись вона таки стане частиною ботнета. Дослідження компанії ESET стверджує, що 15% роутерів досі незахищені — а це 105 мільйонів пристроїв, які потенційно можуть бути зараженими.

Чи настільки потрібна вам “розумна техніка”?

Деякі люди відмовляються від неї, вважаючи занадто складною. Інші ж вважають, що “розумною” скоро стане вся побутова техніка. В будь-якому разі, користь від неї є — наприклад, смарт-годинники, фітнес-браслети, а також деякі смартфони можуть моніторити ваш стан здоров’я в режимі 24/7. А бортові комп’ютери на автомобілях успішно виконують функцію “чорних скриньок” при аваріях та можуть сповіщати рятувальні служби про те, що щось пішло не так з вашою манерою водіння або про стан дороги, на якій опинився автомобіль.

Отже, це нова проблема?

Ні. Можливість зламу через “Інтернет речей” передбачалася одразу, як тільки з’явилася подібна техніка. Але ми не могли уявити, що масштаб цієї проблеми настільки великий. Зараження роутерів та іншої побутової техніки — далеко не нове явище. Рекомендації із захисту вже багато разів обговорювалися.

Читайте також

США, Канада та Німеччина ліквідували чотири ботнети з 3 млн IoT-пристроїв

Датчики тиску в шинах можуть відстежувати ваше авто — Дослідження

Новий ботнет Kimwolf загрожує смарт-телевізорам на Android

Чим небезпечні розумні пристрої для дому та як вберегтися від загроз?

Популярні цифрові фоторамки на Android завантажують шкідливе ПЗ при запуску

Наскільки це давня проблема?

Приблизно з 1980-х. Першими спробували під’єднати побутову техніку до Інтернету вчені з Університету Карнегі-Меллон (США) у 1982 р. — це був автомат з продажу газованих напоїв.

Чому це не зупиняють Інтернет-гіганти, на кшталт Google?

Вони можуть, але самі залишають великі “діри”  у системі захисту свого програмного забезпечення. Зокрема, на безпековій конференції Black Hat студенти за 15 секунд встигли “зламати” термостат Google Nest. За словами одного з учасників конкурсу, окрім того, що на мікрокомп’ютер термостата неможливо поставити антивірус, там ще й була передбачена можливість для втручання у вигляді готового бекдора.

Як я можу це зупинити?

Просто дивіться на ці речі не як на просту побутову техніку, а як на комп’ютери. Змінюйте паролі, ставте оновлення, підключайте до захищених каналів зв’язку. Якщо ви не користуєтесь чимось на даний момент, вимикайте його. Якщо там є інші типи зв’язку, окрім захищених — вимикайте їх. Ці рекомендації прості і дуже ефективні, але їх виконують не всі. Тільки половина користувачів, наприклад, змінила паролі до роутерів (відповідно до дослідження компанії ESET).

Як це можуть зупинити компанії?

І от ви думаєте: “Як моя фірма може зупинити кібератаку, якщо навіть Amazon постраждав від ботнетів?” Насправді навіть невеликі компанії можуть покращити власну кібербезпеку багатьма способами — ускладнювати структуру мереж, моніторити вхідний та вихідний трафік, щоб побачити початок DDOS-атаки. Ще одна порада — не користуватися TELNET-серверами, тому що вони застаріли і можуть використовуватися хакерами для таких атак.

Але… Ще одне “але”…

Хоча “розумна побутова техніка” досить розповсюджена вже довгий час, масових атак такого типу донедавна не було. Тому єдиного рецепту проти “повстання машин” сьогодні не існує. Деякі експерти кажуть, що необхідно встановити фаєрвол вдома і в офісі, та запускати техніку лише в авторизованому режимі. Інші кажуть, що необхідний сертифікований доступ — право користуватися мають лише ті користувачі, які мають правильний сертифікат безпеки, а всі інші підключення вимикаються автоматично.

Ця стаття Інтернет речей: 10 пунктів, які потрібно знати про “розумну побутову техніку” раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Єдиним доступним варіантом може бути повернення до заводських налаштувань для заражених маршрутизаторів.

Ботнет Cyclops Blink тепер націлений на маршрутизатори Asus у новій хвилі кібератак.

Cyclops Blink – це модульний ботнет, який імовірно був створений російською групою розширених стійких загроз (APT) Sandworm/Voodoo Bear.

Кілька тижнів тому Національний центр кібербезпеки Великобританії (NCSC) і Агентство кібербезпеки та безпеки інфраструктури США (CISA), а також Агенство національної безпеки та ФБР попередили про існування ботнету.

За даними агентств, APT підтримується Головним управлінням розвідки Генерального штабу Росії (ГРУ) і його пов’язують із використанням шкідливого програмного забезпечення BlackEnergy проти української електромережі, Industroyer, NotPetya та кібератаками проти Грузії.

«Cyclops Blink, схоже, є заміною для зловмисного програмного забезпечення VPNFilter, викритого в 2018 році, яке використовувало мережеві пристрої, насамперед маршрутизатори невеликого офісу/домашнього офісу (SOHO) і пристрої для зберігання даних, підключені до мережі (NAS)», – попереджають агентства.

Цього тижня дослідники з кібербезпеки з Trend Micro заявили, що, хоча зловмисне програмне забезпечення «спонсується державою», воно, схоже, не активно використовується проти цілей, які б ґрунтувалися на державних інтересах Росії.

Однак пристрої WatchGuard Firebox і Asus, скомпрометовані ботнетом, «не належать до критично важливих організацій або тих, які мають очевидну цінність щодо економічного, політичного чи військового шпигунства» – важливий момент, на який слід звернути увагу, враховуючи нинішнє вторгнення Росії в Україну.

Незважаючи на те, що ботнет зайнятий підкріпленням загальних, відкритих пристроїв в Інтернеті, Trend Micro підозрює, що накопичення вузлів потім може бути використано для «побудови інфраструктури для подальших атак на високоцінні цілі».

Вперше виявлений у 2019 році, Cyclops Blink написаний на C і використовує TCP для зв’язку із сервером C2. Шкідливе програмне забезпечення використовує функції шифрування OpenSSL і намагатиметься отримати доступ до пристроїв.

Модульне зловмисне програмне забезпечення здатне читати та записувати з флеш-пам’яті пристрою, забезпечуючи збереження. Trend Micro також каже, що ці функції можуть дозволити йому «вижити до скидання до заводських налаштувань».

«Хоча його не можна використовувати як доказ атрибуції, попередній код нагадав нам процедуру з третього етапу коду процесу VPNFilter під назвою «dstr», яка мала на меті «замурувати» інфікований пристрій», — кажуть дослідники.

Інші модулі збирають інформацію про пристрій і дозволяють ботнету завантажувати та виконувати додаткові файли з Інтернету.

«Asus, імовірно, лише один із постачальників, на які зараз орієнтується Cyclops Blink», — кажуть дослідники. «У нас є докази того, що інші маршрутизатори також постраждали, але за даними звіту ми не змогли зібрати зразки шкідливого програмного забезпечення Cyclops Blink для інших маршрутизаторів, окрім WatchGuard та Asus».

У повідомленні з безпеки , опублікованому 17 березня, Asus заявила, що знає про Cyclops Blink і «розслідує» інциденти.

Постачальник закликав клієнтів скинути свої пристрої до заводських налаштувань за замовчуванням, оновити свої продукти до останньої прошивки та змінити будь-які облікові дані адміністратора за замовчуванням на більш надійні параметри. Крім того, Asus рекомендує залишити функцію віддаленого керування, вимкнену за замовчуванням.

«Якщо є підозра, що пристрої організації були заражені Cyclops Blink, краще придбати новий маршрутизатор», – додають Trend Micro. «Виконання скидання до заводських налаштувань може призвести до знищення конфігурації організації, але не базової операційної системи, яку змінили зловмисники».

Нижче наведено список постраждалих продуктів:

• Прошивка GT-AC5300 під версією 3.0.0.4.386.xxxx
• Прошивка GT-AC2900 під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC5300 під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC88U під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC3100 під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC86U під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC68U, AC68R, AC68W, AC68P під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC66U_B1 під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC3200 під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC2900 під версією 3.0.0.4.386.xxxx
• Прошивка RT-AC1900P, RT-AC1900P під версією 3.0.0.4.386.xxxx
• RT-AC87U (EOL)
• RT-AC66U (EOL)
• RT-AC56U (EOL)

Ця стаття Російський ботнет Cyclops Blink починає атаку на маршрутизатори Asus раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Небезпечна уразливість в наборах мікросхем Realtek, які присутні в сотнях тисяч розумних пристроїв принаймні від 65 постачальників, наразі використовується для атак з боку однієї великої групи DDoS-ботнетів. Про це пише TheRecord.

Згідно зі звітом фірми SAM, що займається безпекою Інтернету речей,  атаки розпочалися минулого тижня і почалися через три дні після того, як інша фірма з кібербезпеки IoT Inspector опублікувала подробиці про вразливість у своєму блозі.

Уразливість, що відслідковується як CVE-2021-35395, є частиною чотирьох проблем, які дослідники IoT Inspector виявили у наборі для розробки програмного забезпечення (SDK), що поставляється з декількома чипсетами Realtek (SoC). Ці чипи виробляються компанією Realtek, і вони поставляються іншим компаніям, які потім використовують їх як базову плату System-on-Chip (SoC) для власних пристроїв, при цьому Realtek SDK служить конфігуратором і відправною точкою для їх власної прошивки.

Представники IoT Inspector  вони виявили більше 200 різних моделей пристроїв принаймні від 65 різних постачальників, які були побудовані на цих мікросхемах і використовували вразливий SDK. За оцінками, під загрозою опинилися кілька сотень тисяч підключених до Інтернету пристроїв, включаючи маршрутизатори, мережеві шлюзи, ретранслятори Wi-Fi, IP-камери, розумне освітлення та навіть іграшки, підключені до Інтернету. З чотирьох проблем, виявлених дослідницькою групою IoT Inspector, уразливість CVE-2021-35395 отримала найвищий рейтинг серйозності-9,8 з 10 за шкалою тяжкості CVSSv3.

За даними дослідницької групи, вразливість, яка міститься у веб -панелі, що використовується для налаштування SDK/пристрою, дозволила віддаленому зловмиснику підключитися до цих пристроїв за допомогою неправильно налаштованих параметрів веб-панелі URL, обійти автентифікацію та запустити шкідливий код з найвищими правами, ефективно захопивши пристрій.

Хоча Realtek випустив виправлення до того, як IoT Inspector опублікувала свої висновки минулого тижня, це було занадто малим періодом часу для постачальників пристроїв, щоб розгортати оновлення системи безпеки для своїх клієнтів. Це означає, що сьогодні на переважній більшості цих пристроїв все ще працюють застарілі прошивки (і застарілий пакет SDK Realtek), через які йдуть атаки.

За даними SAM, експлуатація вразливості розпочалася незабаром після публікації результаті дослідження і першим це розпочав ботнет Mirai, який за тиждень до цього використав подібну мега-помилку в мільйонах маршрутизаторів з прошивкою на базі Arcadyan.

Дослідницька група SAM заявила, що за результатами їхнього власного сканування, найпоширеніші моделі пристроїв, на яких зараз працює вразливий пакет SDK Realtek, включають:

• Подовжувач Netis E1+;
• Маршрутизатор Wi-Fi Edimax N150 та N300;
• Маршрутизатор Repotec RP-WR5444.

Власники таких пристроїв повинні шукати або запитувати у продавців нові патчі прошивки. Повний список уразливих пристроїв наведено нижче у таблиці:

Чому три випадкових слова – це найкращий пароль? ІНСТРУКЦІЯ

Як не стати жертвою програм-вимагачів? ПОРАДИ

Якими будуть нові смартфони Galaxy Z Fold 3 та Z Flip 3? ОГЛЯД

Як уникнути шахрайських схем із використанням deepfake-відео? ПОРАДИ

Навіщо інші антивіруси, якщо у Вас є Windows Defender? ПОРАДИ

Як налаштувати режим “Не турбувати” на телефонах Samsung Galaxy? – ІНСТРУКЦІЯ

Нагадаємо, ізраїльський виробник рішень для верифікації та забезпечення прозорості в мобільних та online-екосистемах GeoEdge повідомив про виявлення першої у світі кібератаки на домашні IoT-пристрої з використанням шкідливої реклами.

Також баг на офіційному сайті виробника автомобілів Ford Motor відкривав конфіденційні дані, доступ до яких міг отримати будь-який хакер. Серед інформації були бази даних клієнтів, відомості про співробітників тощо.

Окрім цього, американська трубопровідна компанія Colonial Pipeline виплатила 4,4 мільйона доларів хакерам, які викрали особисті дані майже 6 тисячам нинішніх та колишніх працівників компанії. Colonial Pipeline була вимушена сплатити викуп через ймовірність загрози газової кризи.

І майже анекдотична ситуація трапилася із розробником шкідливих програм, який розпочав їх тестування у своїй системі, щоб випробувати нові функції, а згодом дані потрапили на розвідувальну платформу хакерів. Мова йде про розробника Raccoon – трояна-викрадача інформації, який може збирати дані з десятків програм.

Ця стаття Уразливість у мікросхемах Realtec: під загрозу сотні тисяч пристроїв раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Один з ботнетів для майнінгу криптовалют змінює конфігурації процесора на зламаних серверах Linux з метою підвищення продуктивності та ефективності своєї програми видобутку криптовалюти.

Такі атаки, за даними компанії з хмарної безпеки Uptycs, трапляються вперше – коли група хакерів змінює реєстри MSR процесора, щоб вимкнути апаратну попередню вибірку, повідомляє TheRecord.

Увімкнена за замовчуванням на більшості процесорів функція апаратної попередньої вибірки дозволяє процесору завантажувати дані в кеш-пам’ять на основі операцій, які, ймовірно, знадобляться в найближчому майбутньому. Коли центральний процесор має справу з повторюваними обчисленнями, функція апаратної попередньої вибірки може допомогти покращити продуктивність.

У звіті, опублікованому минулого тижня, дослідники Uptycs сказали, що в червні 2021 року вони помітили програму для видобутку криптовалют, яка порушувала роботу серверів Linux, завантажувала драйвер MSR для Linux, а потім відключала апаратну попередню вибірку перед установкою однієї з версій XMRig – поширеної програми, яка використовується для видобутку криптовалют як законослухняними користувачами, так і зловмисними групами.

Компанія Uptycs вважає, що зловмисникам спала на думку ідея відключити апаратну попередню вибірку після прочитання документації XMRig, де стверджується, що XMRig може збільшити швидкість видобутку криптовалюти за допомогою потужностей процесора на 15%, якщо цю функцію вимкнено.

Наразі атаки обмежені серверами Linux, кажуть у Uptycs. Згідно з доповіддю компанії, цей ботнет був помічений  у використанні експлойтів для CVE-2020-14882 та CVE-2017-11610 для отримання доступу до систем Linux під керуванням Oracle WebLogic або Supervisord перед тим, як відключити апаратну попередню вибірку обладнання та встановити XMRig.

Окрім кібератак, помічених цього літа, представники Uptycs повідомили, що один і той же ботнет був активний принаймні з грудня 2020 року і раніше націлювався  на сервери під управлінням MySQL, Tomcat, Oracle WebLogic та Jenkins, припускаючи, що ботнет може легко змінювати цілі та націлюватись на інші веб-сайти. базуючись на тій самій технології, якщо це необхідно.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Телефонне шахрайство: як розпізнати обман та викрити зловмисника?

Платіжна безпека: як вберегтися від шахраїв під час користування онлайн-банкінгом?

Як автоматично пересилати певні електронні листи в Gmail? – ІНСТРУКЦІЯ

Що таке Google Tensor і як він покращить майбутні смартфони? ОГЛЯД

Як заблокувати спам на Google Диску? ІНСТРУКЦІЯ

До речі, Apple скануватиме фото в iPhone користувачів, щоб захистити дітей від насильства. Про це заявив сам американський технологічний гігант.

Виявлено спосіб, що дозволяє користувачам Telegram для Mac назавжди зберігати повідомлення, які повинні самі знищуватися і переглядати їх без відома відправника. Уразливість виправити неможливо.

Зверніть увагу, шахрайську схему з виманювання даних платіжних карт українців вигадали зловмисники, створивши фейкову сторінку у Facebook та фейковий сайт ТСН. Довірливих користувачів змушували вказувати дані своїх платіжних карток.

Окрім цього, Windows 11 може вийти раніше, ніж Ви думали. Майкрософт була щедрою з інформацією про Windows 11, за значним винятком є ​​дата виходу. Однак компанія могла ненароком відкрити вікно випуску за жовтень, завдяки деяким документам підтримки Intel та Microsoft, виявленим BleepingComputer.

Також якщо Ви регулярно пересилаєте повідомлення на інший обліковий запис електронної пошти, чому б не автоматизувати це завдання? Використовуючи зручну функцію фільтрування в Gmail, Ви можете автоматично пересилати певні електронні листи, коли вони потраплять у Вашу поштову скриньку.

Ця стаття Майнер “навчився” оптимізовувати налаштування комп’ютерів для видобутку криптовалюти раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

За останні два роки шкідливе ПЗ LemonDuck для майнінгу криптовалют перетворилося на потужний ботнет, і тепер його оператори експериментують з новими видами атак в скомпрометованих мережах.

Фахівці Microsoft провели аналіз ПЗ LemonDuck і розповіли про нещодавні зміни в коді шкідника, що дозволяють проводити атаки з використанням клавіатури (hands-on-keyboard intrusions). В ході подібних атак зловмисники перестають використовувати автоматичні скрипти і вручну авторизуються на зараженій системі для самостійного виконання команд.

LemonDuck був виявлений ізраїльської фірмою Guardicore в першій половині 2019 року. Спочатку ботнет був заснований на класичному спамі електронної пошти для поширення шкідливих файлів і зараження систем жертв шкідливим ПЗ. Однак за останні два роки шкідлива програма постійно отримувала нові функції, і в 2020 році її творці додали підтримку мережевих атак. Тепер ботнет може заражати системи під управлінням Windows і Linux і оснащений низкою функцій, які дозволяють йому видаляти конкуруючі шкідливі програми з заражених пристроїв, захищатися від атак з боку конкурентів, і викрадати облікові дані з локальних систем.

Як відзначили дослідники, оператори LemonDuck також почали установку інших видів шкідливих програм на заражених системах, наприклад, із сімейства Ramnit. Фахівці припускають, що LemonDuck може перетворитися в бізнес-модель Malware-as-a-Service (шкідливе ПЗ як послуга).

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

В Україні користувачів Android та iOS атакує небезпечне шкідливе ПЗ

Як перевірити шкідливий чи безпечний сайт? – ПОРАДИ

Як змусити AirPods повідомляти про дзвінки та сповіщення на iPhone? – ІНСТРУКЦІЯ

Як перевірити, які програми на iPhone Ви використовуєте найчастіше? – ІНСТРУКЦІЯ

До речі, користувачі ніколи не зможуть встановити Windows 11 на несумісні пристрої. Групова політика не дозволить Вам обійти обмеження апаратного забезпечення для установки Windows 11.

Apple має намір додати підтримку системи розпізнавання осіб Face ID на комп’ютери Mac протягом наступних двох років. Про це повідомив оглядач Bloomberg.

Зловмисники все частіше використовують безкоштовний месенджер Discord як канал для поширення шкідливих програм.

Окрім цього, стало відомо про великий витік даних учасників Clubhouse. Провідний експерт з кібербезпеки Джіт Джайн повідомив, що повна база телефонних номерів Clubhouse виставлена ​​на продаж в Darknet.

Також стало відомо, що операційна система Windows 11, яка ще офіційно не вийшла, але вже доступна для скачування і попереднього знайомства, використовується зловмисниками, які намагаються підсунути користувачеві шкідливе ПЗ під виглядом нової ОС.

Ця стаття Ботнет LemonDuck може перетворитися в бізнес послугу раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Нещодавно виявлений бекдор для систем на Linux залишався непоміченим кілька років, дозволяючи зловмисникам збирати та виводити конфіденційну інформацію з  заражених пристроїв.

Бекдор, який дослідники з лабораторії досліджень мережевої безпеки Qihoo 360 (360 Netlab) назвали RotaJakiro, залишався не виявленим антивірусними механізмами VirusTotal, хоча зразок датований 2018 роком, повідомляє BleepingComputer.

RotaJakiro написаний так, щоб залишитися непомітним, шифруючи свої канали зв’язку за допомогою архівації ZLIB та шифрування AES, XOR, ROTATE.

Він також робить все можливе, щоб заблокувати програми аналізу зловмисного програмного забезпечення, щоб вони не знаходили його, оскільки інформація про ресурси, знайдена у зразку, поміченому системою 360 Netlab BotMon, шифрується за допомогою алгоритму AES.

“На функціональному рівні RotaJakiro спочатку визначає, чи користувач має права root на час виконання, з різними політиками виконання для різних облікових записів, потім розшифровує відповідні чутливі ресурси за допомогою AES & ROTATE для подальшого збереження, захисту процесів та використання одного екземпляра, і нарешті встановлює зв’язок із С2 і чекає виконання команд, виданих С2”, – заявили представники 360 Netlab.

Зловмисники можуть використовувати RotaJakiro для викрадення системної інформації та конфіденційних даних, управління плагінами та файлами та запуску різних плагінів на скомпрометованих 64-розрядних пристроях Linux. Однак експерти 360 Netlab ще не виявили справжні наміри творців шкідливого програмного забезпечення щодо їхнього бекдора через відсутність видимості щодо плагінів, які вони розгортають на заражених системах.

“RotaJakiro підтримує загалом 12 функцій, три з яких пов’язані з виконанням певних плагінів, – додали дослідники. – На жаль, ми не бачимо видимості плагінів і тому не знаємо його справжнього призначення.”

Починаючи з 2018 року, коли перший зразок RotaJakiro потрапив на VirusTotal, 360 Netlab знайшов чотири різні зразки, завантажені в період з травня 2018 року по січень 2021 року, і всі вони мали вражаючу кількість нульових виявлень. Всі командно-адміністративні сервери, які історично використовувались шкідливим програмним забезпеченням, мали домени, зареєстровані шість років тому, у грудні 2015 року.

Експерти 360 Netlab також виявили посилання на ботнет Torii IoT, вперше помічений експертом з шкідливих програм Веселіном Бончевим та проаналізований групою аналітиків Avast Threat Intelligence у вересні 2018 року. Два штами шкідливого програмного забезпечення використовують однакові команди після розгортання на скомпрометованих системах, подібні методи побудови та константи, які використовуються обома розробниками.

RotaJakiro і Torii також мають багато функціональних подібностей, включаючи “використання алгоритмів шифрування для приховування конфіденційних ресурсів, реалізацію досить старовинного стилю атак, структурованого мережевого трафіку”.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття “Новий” шкідник заражав системи на Linux протягом багатьох років раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Непропатчені сервери Microsoft Exchange зараз активно заражаються  ботнетом Prometei, а їхні ресурси використовуються  для видобутку криптовалюти Monero (XMR). Про це повідомляє BleepingComputer.

Вищезгадане модульне шкідливе програмне забезпечення може заражати як системи на Windows, так і на Linux, і вперше воно було виявлено минулого року під час використання експлойта EternalBlue для розповсюдження по скомпрометованих мережах і поневолення вразливих комп’ютерів Windows.

Нещодавно команда Nocturnus з фірми  Cybereason виявила, що ботнет, ймовірно, працює майже півроку, згідно артефактів Prometei, знайдених у базі VirusTotal, починаючи з травня 2016 року. На основі нових зразків шкідливого програмного забезпечення, нещодавно знайдених Cybereason під час останніх реакцій на інциденти, виявилося, що ботнет також оновлений для використання вразливостей Exchange Server, виправлених Microsoft у березні.

Основна увага атак Prometei на сервери Exchange полягає у розгортанні корисного навантаження, яке починає заробляти гроші для своїх операторів та розповсюджуватися на інші пристрої в мережі, використовуючи експлойти EternalBlue та BlueKeep, зібрані облікові дані та модулі розповсюджувача SSH або SQL.

“Коли зловмисники беруть під свій контроль заражені машини, вони не тільки здатні видобувати біткоїни, використовуючи обчислювальну потужність, але також можуть проникати в конфіденційну інформацію”, – сказав Асаф Дахан, старший директор  Cybereason та керівник досліджень загроз. “Якщо зловмисники захочуть це зробити, вони також можуть заразити скомпрометовані кінцеві точки іншим шкідливим програмним забезпеченням і співпрацювати з групами вимагачів для продажу доступу до кінцевих точок”.

Однак шкідливе програмне забезпечення було оновлено – туди додали бекдор з підтримкою великого набору команд. Сюди входять завантаження та виконання файлів, пошук файлів на заражених системах та виконання програм або команд від імені зловмисників.

“Останні версії Prometei тепер забезпечують зловмисників складним та прихованим бекдором, який підтримує широкий спектр завдань, які роблять видобуток монет Monero найменшим з зол, яке може непокоїти жертву”, – заявила команда Cybereason.

Хоча актори (и) загрози, що стоять за цим ботнетом, невідомі, є певні докази, що вони говорять російською мовою – включаючи ім’я ботнета, Prometei (Прометей), а також російський код та назву продукту, що використовуються у старих версіях. Дослідження Cybereason також вказують на те, що оператори ботнетів фінансово мотивовані і, можливо, не працюють на чиїсь державні структури.

“Як спостерігалося під час нещодавніх атак Prometei, хакери використали нещодавно виявлені вразливості Microsoft Exchange і використовували їх для проникнення в цільові мережі”, – додала команда Cybereason. “Ця загроза представляє великий ризик для організацій, оскільки зловмисники мають абсолютний контроль над зараженими машинами, і, якщо вони цього бажають, вони можуть викрадати інформацію, заражати кінцеві точки іншим шкідливим програмним забезпеченням або навіть співпрацювати з вимагачами, продаючи доступ до заражених кінцевих точок “.

Недоліки CVE-2021-27065 та CVE-2021-26858, які використовував Prometei, також були використані кількома хакерськими групами, що підтримуються Китаєм, та іншими хакерськими групами для розгортання веб-оболонок, програм-вимагачів та іншого зловмисного програмного забезпечення.

Згідно зі статистикою, якою Microsoft поділилася минулого місяця, приблизно 92% усіх підключених до Інтернету локальних серверів Exchange, які зазнали впливу цих вразливостей, зараз пропатчені та захищені від атак. Компанія також випустила інструмент локального виправлення (EOMT) Exchange, який допомагає власникам малого бізнесу швидко пом’якшити помилки безпеки, навіть без допомоги спеціальної команди безпеки. До того ж, Microsoft Defender Antivirus автоматично захищає ще не пропатчені сервери Exchange від постійних атак, автоматично пом’якшуючи вразливі місця.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як увімкнути записування відео HDR на iPhone? ІНСТРУКЦІЯ

Онлайн-шопінг у соцмережах: як не бути ошуканим?

Як правильно вибрати ноутбук? ПОРАДИ

Як безкоштовно надсилати захищені паролем електронні листи? ПОРАДИ

Нагадаємо, дослідники безпеки опублікували в Мережі PoC-експлойт для запуску шкідливого коду в Chrome, Edge, Vivaldi, Opera і інших браузерах на базі Chromium. Уразливість зачіпає JavaScript-движок V8 і вже виправлена в його вихідному коді, але виправлення поки ще не інтегровано ні з кодовою базою Chromium, ні з заснованими на ньому проектами.

Також дослідники виявили безліч уразливостей в популярних додатках, що допускають виконання довільного коду в системах користувачів всього лише за допомогою одного кліка. Саме тому такі баги отримали неформальне ім’я “уразливості одного кліка” (one-click vulnerabilities).

Розробники WhatsApp усунули дві небезпечні уразливості в Android-версії месенджера. Якщо зловмисник задіє ці дві уразливості в атаці, у нього з’явиться можливість виконати шкідливий код і віддалено зламати мобільний пристрій жертви.

Окрім цього, кіберзлочинці атакують уразливі сервери Microsoft Exchange з метою встановлення програмного забезпечення для майнінгу криптовалют у рамках шкідливої ​​кампанії, спрямованої на використання обчислювальних потужностей скомпрометованих систем для заробітку.

Ця стаття Сервери Microsoft Exchange знову атакували раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Оператори агресивного ботнету запустили нову кампанію, під час якої вони проводять брутфорс паролю SMB (Server Message Block) і поширюють шкідливу програму у всій екосистемі Microsoft Windows.

Про ці кібератаки розповіли дослідники з Guardicore. Кібероперація, яку зловмисники ведуть з 2018 року, отримала назву Purple Fox. І лише нещодавно злочинці почали використовувати вектор атаки, який нагадує поведінку комп’ютерного “хробака”, пише Tech Crunch.

За словами фахівців, основними інструментами хакерів є набори експлойтів і фішингові листи. Проникнувши в мережу тієї чи іншої організації, оператори шкідника створюють ботнет, основне завдання якого – видобувати для своїх господарів криптовалюту.

Кіберзлочинці поєднують методи на кшталт брутфорсу з можливостями руткіту. У цьому випадку основними жертвами Purple Fox стають відкриті SMB-служби зі слабкими паролями і хешами. Хакерам, як правило, вдається успішно підібрати прості паролі, після чого відкривається можливість для подальшого поширення шкідливої ​​програми.

Спеціаліст Guardicore Аміт Серпер опублікував детальну інформацію про атаки Purple Fox, прикріпивши також індикатори компрометації (IOC), щоб організаціям було простіше виявляти ознаки присутності зловмисників.

Паралельно Серпер зазначив, що поведінка комп’ютерного “хробака”, якого зафіксували під час останніх атак, відрізняється від того, що описувалося раніше. Кіберзлочинці також мають у своєму розпорядженні різні пакети MSI, що зберігаються як мінімум на 2000 серверах.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як створити гостьову мережу Wi-Fi та навіщо вона потрібна?

Що таке зловмисне ПЗ? Все, що потрібно знати про віруси, трояни та програми-вимагачі

Як обмежити додаткам використання даних у фоновому режимі на Android? – ІНСТРУКЦІЯ

Як налаштувати автовидалення повідомлень у Telegram? – ІНСТРУКЦІЯ

Як заборонити сайтам надсилати Вам сповіщення у Chrome на Android? – ІНСТРУКЦІЯ

Signal чи Telegram: який додаток кращий для чату?

Нагадаємо, на VirusTotal були виявлені кілька зразків трояна XCSSET, які здатні працювати на пристроях з чипами Apple Silicon (M1).  Троян вміє красти файли куки з Safari, інформацію з додатків Evernote, Skype, Notes, QQ, WeChat і Telegram, а також шифрувати файли і впроваджувати шкідливий JavaScript сторінки, що відкривається у браузері, за допомогою XSS-атаки

Окрім цього, у Google Play Маркет знайшли понад десять додатків, що завантажують троянську програму Joker. Ця шкідлива програма примітна тим, що таємно оформляє підписку на преміум-послуги. Вона також вміє перехоплювати SMS, красти конфіденційні дані і список контактів, встановлювати бекдор, генерувати фейковий відгуки, нав’язливо показувати рекламу

Також понад 10 різних APT-груп, які використовують нові уразливості Microsoft Exchange для компрометації поштових серверів, виявили дослідники з кібербезпеки. Дослідники ESET виявили наявність веб-шелів (шкідливі програми або скрипти, які дозволяють дистанційно управляти сервером через веб-браузер) на 5 тисячах унікальних серверах у понад 115 країнах світу.

До речі, хакери вигадали хитрий спосіб викрадення даних платіжних карток у скомпрометованих інтернет-магазина. Замість того, щоб надсилати інформацію про картку на контрольований ними сервер, хакери приховують її у зображенні JPG та зберігають на самому веб-сайті, з якого власне, і були викраденні дані.

А команда експертів змогла отримати доступ до камер відеоспостереження, встановлених в компаніях Tesla, Equinox, медичних клініках, в’язницях і банках. Фахівці опублікували зображення з камер, а також скріншоти своєї здатності отримати доступ суперкористувача до систем спостереження, які використовують в компанії Cloudflare і в штаб-квартирі Tesla.

Ця стаття Системами Windows поширють “хробака”, який створює ботнет для видобування криптовалюти раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар

Дослідники з ікібербезпеки виявили, що ботнет-кампанія криптовалютного майнінгу інноваційно використовує біткоїн-блокчейн, щоб запобігти демаскуванню та знешкодженню своїх серверів управління.

Аналізуючи  тривалу ботнет-кампанію майнінгу криптовалют, Чад Сіман з Akamai виявив, що її оператори замаскували IP-адресу сервера резервного керування (C&C) за допомогою блокчейна біткоїнів, повідомляє Techradar.

У грудні 2020 року Сіман помітив наявність адреси біткоїн-гаманця у нових варіантах шкідливого програмного забезпечення, а також деякі інші деталі.

“При подальшому вивченні цих доповнень стало зрозуміло, що дані гаманця, що отримуються з API, використовуються для обчислення IP-адреси. Потім ця IP-адреса використовується для  забезпечення стійкості та додаткових операцій зараження”, – зазначає Сіман у своєму аналізі шкідливого програмного забезпечення.

Експерти з безпеки регулярно видаляють сервери C&C для демонтажу ботнетів. Проте  Сіман зазначає, що ця конкретна криптовалютна ботнет-кампанія функціонує вже понад три років, протягом яких вона видобула Monero на суму понад 30 тисяч доларів.

Оператори шкідливого програмного забезпечення постійно адаптуються  до демаскування серверів, їхнього знищення та інших невдач, щоб забезпечити безперервність кампанії.

Використання біткоїн-блокчейну – це один із таких кроків, який забезпечить, щоб заражені машини завжди мали резервний C&C-сервер, який буде ними керувати, навіть якщо основний сервер виведено з ладу.

Вражений новим підходом,  Сіман зауважує, що оператори вбудували інформацію про конфігурацію в носій, який не може бути вилучений або підданий цензурі.

“За допомогою цього методу оператори кампанії перетворили потенційні наступальні дії на свою інфраструктуру із серйозних збоїв у те, що можна швидко та легко відновити”, – каже дослідник.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Зловмисники використовували блокчейн Bitcoin для маскування шкідливого ПЗ раніше була опублікована на сайті CyberCalm, її автор — Побокін Максим

Через нещодавнє зростання цін на торгівлю криптовалютою більшість онлайн-систем часто стають жертвою нападів ботнетів, що займаються майнінгом криптовалюти, прагнуть закріпитися на незахищених системах і отримати прибуток для зловмисників, які їх створили.

Остання з виявлених загроз – ботнет WatchDog, написаний на мові програмування Go. Небезпека була виявлена Unit42, підрозділом кібербезпеки в Palo Alto Networks, даний ботнет для майнінгу активний з січня 2019 року. Спеціалістами з безпеки було встановлено, що WatchDog заразив деякі системи Windows і Linux, повідомляє ZDNet.

Точкою входу для атак були застарілі корпоративні додатки. Згідно з аналізом операцій ботнету, Unit 42 заявив, що розробники WatchDog використовували 33 різних експлойта для націлювання на 32 уразливості в програмному забезпеченні, таких як: Drupal, Elasticsearch, Apache Hadoop, Redis, Spring Data Commons, SQL Server, ThinkPHP,
Oracle WebLogic, CCTV.

Враховуючи дані, що були надані командою Unit42, зловмисний ботнет зміг інфікувати близько тисячі систем. Прибуток склав близько 209 монет Monero, які в даний час оцінюються приблизно в 32 тисячі доларів, але реальна цифра набагато вища, оскільки дослідникам вдалося проаналізувати лише декілька файлів, а угруповання WatchDog, як вважають фахівці, використовувала набагато більше адрес Monero.

Хороша новина для власників серверів полягає в тому, що WatchDog не настільки небезпечний, як, наприклад, TeamTNT та Rocke, що в останні місяці заволоділи можливостями, що дозволяють отримувати облікові дані для систем AWS та Docker із заражених серверів. Однак команда Unit42 попереджає, що таке оновлення – це лише кілька натискань клавіш для зловмисників WatchDog.

Щоб захистити свої системи від цієї нової загрози, захисники мереж дають ті ж поради, які лунають від експертів з безпеки протягом останнього десятиліття: оновлюйте системи та їх програми, щоб запобігти атакам з використанням експлойтів для старих уразливостей.

Радимо звернути увагу на поради, про які писав Cybercalm, а саме:

Як не стати жертвою кіберзлочину, якщо працюєш вдома? ПОРАДИ

Що таке спуфінг і як запобігти атаці? ПОРАДИ

Чи варто користуватися WhatsApp? П’ять правил безпеки від найбільш розшукуваного хакера світу

Як перенести бесіди з WhatsApp у Telegram на Android? – ІНСТРУКЦІЯ

Як перенести історію чату з WhatsApp у Telegram для iPhone? – ІНСТРУКЦІЯ

Як змінити на Android обліковий запис Google за замовчуванням? – ІНСТРУКЦІЯ

Як дізнатися, які дані Google знає про Вас і видалити їх? – ІНСТРУКЦІЯ

Діяльність одного з найбільших у світі фішингових сервісів для атак на фінансові установи різних країн припинили правоохоронці. Від фішингових атак цього сервісу, який створив та адміністрував 39-річний мешканець Тернопільщини, постраждали 11 країн світу.

Досліднику у галузі кібербезпеки вдалося зламати внутрішні системи понад 35 найбільших компаній, серед яких були Microsoft, Apple, PayPal, Shopify, Netflix, Yelp, Tesla та Uber. У цьому фахівцеві допомогла нова атака на ланцюжок поставок софту.

Для обходу захисних поштових шлюзів і фільтрів автори адресних фішингових листів використовують новаторський спосіб приховування шкідливого вмісту сторінки. Теги JavaScript, впроваджувані в HTML-код, шифруються з використанням азбуки Морзе.

Нове сімейство програм-вимагачів під назвою Vovalex поширюється через піратський софт, замаскований під популярні утиліти для Windows – наприклад, CCleaner. Одна цей шифрувальник має певну особливість, що відрізняє його від інших “шкідників” подібного класу.

Ця стаття Сервери Windows і Linux постраждали від нового зловмисного ботнету WatchDog раніше була опублікована на сайті CyberCalm, її автор — Олена Кожухар