Исследователи компании GuardiCore обнаружили ботнет, состоящий из 15 000 серверов, которые в настоящее время используются для майнинга криптовалюты и приносят своему оператору около $1000 в день (примерно $25 000 в месяц).

Аналитики пишут, что ботнет появился в декабре 2016 года, но быстро разросся до 15 000 машин, работающих под управлением Windows Server, из которых примерно 2000 активны ежедневно. Специалисты GuardiCore полагают, что оператор ботнета находится на территории Китая, и, судя по обнаруженным в коде комментариям, он скрывается под псевдонимом Bond007.01. Именно поэтому ботнет получил название BondNet.

Инфраструктура BondNet

В настоящее время BondNet используется для майнинга криптовалюты. В основном Bond007.01 интересует Monero, но также зараженные серверы майнили ByteCoin, RieCoin и ZCash.

Быстрый рост ботнета эксперты объясняют тем, что злоумышленник не жалеет сил и времени на «развитие» BondNet. Известно, что Bond007.01 полагается на разные техники, комбинирует различные эксплоиты и брутфорс-атаки, взламывая как системы с ненадежными учетными данными RDP, так и более защищенные машины. В последнем случае злоумышленник эксплуатирует различные уязвимости в phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic и так далее.

Векторы атак

Если взлом удался, Bond007.01 устанавливает на сервер RAT с функциональностью Windows Management Interface (WMI) бэкдора и криптовалютный майнер, чтобы сервер приносил прибыль. Кроме того, зараженные серверы используют WinEggDrop (сканер TCP портов) для поиска новых жертв.

Исследователи сообщают, что все пострадавшие машины работали под управлением Windows Server, и более половины под управлением Windows Server 2008 R2.

К своему отчету специалисты GuardiCore также приложили специальный инструмент, который призван помочь администраторам обнаружить заражение и удалить ботов Bondnet из своих систем.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    2 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии