Специалисты компании Cisco заметили, что злоумышленники используют уязвимость в старых версиях JBoss для атак на серверы компаний. Через эксплуатацию данного бага, распространяется шифровальщик Samsam, впервые замеченный еще в марте 2016 года.

О самом вымогателе Samsam мы писали совсем недавно: эксперты Cisco провели  настоящее расследование и заключили, что Samsam и подобные ему угрозы – это новый этап эволюции вымогательского ПО. Тогда в отчете экспертов сообщалось, что шифровальщик распространяется через непропатченные версии JBoss. Оказалось, что масштаб данной проблемы куда больше, чем аналитики Cisco предполагали.

Эксперты Cisco рассказали, что в поисках уязвимых версий они провели дополнительное расследование и выявили более 3,2 млн серверов, работающих с устаревшими версиями JBoss. Потенциально любой из этих серверов уже мог быть заражен бэкдором.

Более детальная проверка показала, что из трёх миллионов серверов скомпрометированы 2100 машин, работающие на 1600 разных IP. Фактически злоумышленники уже провели на эти серверы первую стадию атаки – бэкдор внедрен, осталось лишь загрузить пейлоуды шифровальщика. Исследователи пишут, что пострадавшая аппаратура принадлежит школам, правительственным учреждениям, авиационным компаниям и так далее.

Более того, исследователи выявили, что операторы SamSam – не единственные, кто использует уязвимости в JBoss. На исследованных серверах нашли бэкдоры mela, shellinvoker, jbossinvoker, zecmd, cmd, genesis, sh3ll, а также Inovkermngrt и jbot. Судя по всему, это дело рук разных хакерских группировок.

Наиболее очевидным признаком заражения является появление в системе файлов: jbossass.jsp, jbossass_jsp.class, shellinvoker.jsp, shellinvoker_jsp.class, mela.jsp, mela_jsp.class, zecmd.jsp, zecmd_jsp.class, cmd.jsp, cmd_jsp.class, wstats.jsp, wstats_jsp.class, idssvc.jsp, idssvc_jsp.class, iesvc.jsp или iesvc_jsp.class.

Также специалисты заметили, что на большинстве скомпрометированных серверов используется ПО Destiny, созданное для организации работы библиотек. Оказалось, что компания Fellot, стоящая за разработкой Destiny, сумела создать отличную систему обновлений и исправляет на серверах своих клиентов, в том числе, ошибки в JBoss, а также отслеживает появление подозрительных файлов. Разработчики Fellot охотно согласились помочь экспертам Cisco, уже устранили все проблемы в своем ПО и теперь помогают своим клиентам избавиться от заражения.

Фото: SparkFun Electronics

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии