Специалисты Positive Technologies рассказали, что операторы Neutrino сменили тактику и уже больше года атакуют веб-шеллы других хакеров и заражают не простых пользователей, а серверы.
Аналитики пишут, что очередной виток развития малвари начался в 2018 году. Если раньше этот вредонос распространялся через почтовые вложения и наборы эксплоитов, то теперь он примерил на себя роль ботнета, который сканирует сеть, ищет различные веб-приложения и серверы, брутфорсит административные панели, занимается перебором шеллов и эксплуатацией уязвимостей. Судя по всему, все это делается ради добычи криптовалюты на зараженных серверах.
Ботнет Neutrino имеет четкую организационную структуру: пока одни зараженные хосты заняты майнингом криптовалюты и сканируют интернет, другие служат прокси-серверами.
Для взлома серверов Neutrino использует самые разные методы, от применения эксплоитов для старых и новых уязвимостей, до обнаружения серверов phpMyAdmin, оставленных без пароля, и брутфорса root-аккаунтов phpMyAdmin, Tomcat и MS-SQL.
Однако в поведении обновленного Neutrino можно было заметить и весьма странные вещи, нехарактерные для обычных ботнетов. К примеру, поиск открытых узлов Ethereum: в июне 2018 года это позволило злоумышленникам похитить 20 млн долларов.
Также Neutrino не только занимается брутфорсом и эксплуатацией различных багов, но уделяет немало времени взлому веб-шеллов. Список включал в себя 159 адресов с уникальными параметрами (PHP иJSP-шеллы), и малварь пыталась исполнять простые команды и, по сути, брутфорсить шеллы «конкурентов».
Эксперты резюмируют, что в настоящее время Neutrino входит в тройку лидеров по числу атак на ханипоты компании. Это брутфорсы администраторских панелей, перебор шеллов и эксплуатация уязвимостей. За счет сканирования более десяти уязвимостей и шеллов конкурентов Neutrino состоит уже из десятков тысяч ботов. И большая часть из них — системы Windows со средой phpStudy, которые он использует для майнинга криптовалюты Monero. Код малвари регулярно дополняется проверками на новые эксплоиты. Например, в тот же день, когда был опубликован свежий эксплоит для ThinkPHP, исследователи обнаружили и новую версию Neutrino.
Несмотря на это, можно сказать, что Neutrino ведет себя осторожно: исполняет код из памяти, использует многоступенчатую проверку шелла перед исполнением кода, а также размещает управляющие серверы на самих зараженных серверах. Фактически обнаружить его присутствие возможно лишь по специфичным сетевым запросам.