По свидетельству Trend Micro, обновленный Linux-зловред AESDDoS способен не только проводить DDoS-атаки, но также загружать майнер криптовалюты на зараженное устройство. Более того, его доставка на устройства ныне осуществляется с помощью эксплойта для Confluence Server.

Критическая уязвимость в приложении для совместной работы, получившая идентификатор CVE-2019-3396, возникла из-за ошибки в коде модуля Widget Connector. Использование бреши не требует аутентификации и позволяет удаленно выполнить произвольный код в системе. Соответствующий патч был выпущен 20 марта, а через три недели в открытом доступе появился PoC-эксплойт, который злоумышленники почти сразу взяли на вооружение.

Вредоносная программа AESDDoS, известная также как Dofloo, MrBlack и Spike, появилась на интернет-арене в 2014 году. Злоумышленники неоднократно создавали на ее основе ботнеты для проведения DDoS-атак, заражая в основном маршрутизаторы.

Как выяснили исследователи, распространяемый посредством эксплойта новый вариант DDoS-бота попадает на устройство не сразу. Вначале удаленно выполняется шелл-команда на загрузку и запуск вредоносного сценария командной оболочки. Тот, в свою очередь, загружает другой шелл-скрипт, который уже устанавливает AESDDoS.

Анализ показал, что обновленный зловред владеет несколькими техниками DDoS, в том числе SYN flood, UDP flood и TCP flood. Проникнув в систему, он модифицирует файл rc.local, чтобы обеспечить свой автозапуск при перезагрузке системы. После запуска AESDDoS собирает информацию о зараженном устройстве (модель, процессор, сетевые интерфейсы, запущенные процессы), шифрует ее AES-ключом и отправляет на командный сервер. Оттуда же он получает шифрованные команды на проведение DDoS-атаки или загрузку криптомайнера.

Со случаями заражения AESDDoS из-за непропатченного Confluence Server столкнулись также эксперты Positive Technologies:

Категории: Аналитика, Вредоносные программы, Уязвимости