Banned
Join Date: Nov 2023
Posts: 0
|
Специалисты SentinelOne обнаружили майнинговый ботнет, который насчитывает около 30 000 зараженных хостов по всему миру. Исследователи говорят, что ботнет принадлежит группировке 8220, активной с 2017 года.
Эксперты пишут, что группа 8220 —это «одна из многих низкоквалифицированных преступных групп», за которыми они наблюдают постоянно. Как правило, эти хакеры заражают облачные хосты с помощью известных уязвимостей, а также векторов заражения, связанных с удаленным доступом.
Интересно, что еще в конце 2021 года этот ботнет насчитывал лишь около 2000 хостов. Столь быстрый рост специалисты объясняют активными атаками на Linux-серверы, о которых недавно предупреждали аналитики Microsoft, а также эксплуатацией багов в облачных приложениях и взломом защищенных установок Docker, Apache WebLogic и Redis.
Напомню, что, по данным Microsoft, новейшая кампания хакеров направлена против Linux-систем (i686 и x86_64), и в ее рамках применяются эксплоиты для удаленного выполнения кода. В частности, хакеры используют для получения первоначального доступа недавно раскрытый баг в Atlassian Confluence (CVE-2022-26134), а также старую уязвимость в Oracle WebLogic (CVE-2019-2725).
Помимо кастомного майнера PwnRig, основанного на известном XMRig, который используют преступники, атакующий скрипт группы также предназначен для удаления защитных инструментов и брутфорса SSH (с использованием списка из 450 жестко закодированных учетных данных) для дальнейшего бокового перемещения по сети.
Более того, новые версии скрипта имеют черные списки, которые помогают малвари избегать компрометации определенных хостов, включая серверы-приманки исследователей.
Также отмечается, что сам PwnRig тоже недавно был обновлен и теперь использует домен, подделывающийся под ФБР, а IP-адрес указывает на законный домен федерального правительства Бразилии. Все это сделано ради сокрытия мошеннических запросов к майнинговому пулу, чтобы было неясно, куда уходят «заработанные» хакерами деньги.
Добавлено через 1 минуту 13 секунд
Может тоже этим заняться? Работа вроде не очень сложная сплойты применять. Просканил сеть да взламывай. Выхлоп должен быть хороший.
|
03-08-2025, 09:41 PM
Может для того что бы этого небыло после взлома необходимо даже будет самому пропатчить систему что бы другие хакеры уже не смогли с помощью этой дыры/дыр войти на сервак. Так же незабываем про то что есть хонипоты и ментовские сетки. Так что не так всё просто. Нужны и деньги и фарт и знания. Но конечно все эти проблемы решаемы. Например после того как ты насканишь например masscan`ом или zmap`ом интернет и навзламываешь сервера - отпадёт необходимость в покупке серваков под скан, а того и глядишь сможешь и сам продавать серваки под скан всего интернета на необходимых портах да ещё и с баннерами сразу. Ну и конечно не плохо бы было уметь кодить. Но вот чего чего а этого я толком не умею. Обхожусь скиллами скрипт-киддиса. 
Linear Mode
