По словам экспертов Palo Alto Networks, многофункциональный зловред, получивший имя XBash, способен атаковать системы Windows, macOS и Linux. Сейчас он находится в стадии разработки, но вполне может превратиться в серьезную угрозу.

Анализ четырех найденных образцов XBash показал, что новая вредоносная программа написана на Python. Для преобразования в исполняемые файлы PE злоумышленники используют упаковщик PyInstaller.

Основным компонентом зловреда является бот, который по команде с C&C сканирует Интернет в поисках уязвимых веб-приложений и сервисов, защищенных слабым или дефолтным паролем. При этом сканирование проводится не только по случайно сгенерированным IP-адресам, как это делают Mirai и Bashlite/Gafgyt, но также по спискам доменных имен. Подобная возможность предусмотрена, видимо, для того, чтобы затруднить обнаружение вредоносной активности с помощью специальных ловушек, к которым обычно можно обращаться лишь по IP.

На настоящий момент XBash располагает тремя эксплойтами к хорошо известным уязвимостям в следующих сервисах:

  • Hadoop (раскрытая в 2016 году брешь без CVE-идентификатора, позволяющая выполнять команды в обход аутентификации),
  • Redis (2015 год, запись произвольных файлов и удаленное выполнение команд, тоже без CVE),
  • ActiveMQ (CVE-2016-3088, удаленная загрузка и исполнение произвольных файлов)

Примечательно, что Windows-версия зловреда нацелена только на Redis.

Списки сервисов и портов для проведения словарных атак, которыми вооружен новобранец, весьма внушительны. В числе прочих он пытается подобрать пароли к веб-серверам (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh и Rsync. Столь обширная площадь атаки позволяет ботоводам наращивать потенциал намного быстрее конкурентов.

На взломанных Linux-системах зловред занимается вымогательством, отыскивая и уничтожая базы данных под управлением MySQL, MongoDB и PostgreSQL. Вместо содержимого базы XBash оставляет сообщение с требованием выкупа в размере 0,02 биткойна ($125), однако функций копирования файлов в его коде не обнаружено. Это означает, что, согласившись платить, жертва все равно не сможет вернуть стертые данные. Аналогичным образом действовали авторы прошлогодних масштабных атак на плохо защищенные базы данных.

Модуль для майнинга криптовалюты в настоящее время загружается только на Windows. Эксперты ожидают, что скоро эту функцию включат и для Linux. Обнаружен также компонент с функциональностью сетевого червя, ориентированный на Windows. Этот модуль использует утилиту LanScan для дальнейшего распространения XBash по локальной подсети, в которой находится зараженное устройство. В найденных образцах зловреда этот компонент не активирован.

По данным Palo Alto, новый ботнет начал функционировать в мае. За истекший период его операторы разбогатели лишь на 0,964 биткойна (примерно $6 тыс.), убедив 48 жертв заплатить за возврат удаленных данных.

Исследователи полагают, что за XBash стоит хорошо известная группировка Iron, создавшая одноименное вымогательское ПО, а затем переключившаяся на криптоджекинг. К слову, в Palo Alto, в отличие от Cisco, уверены, что Iron и Rocke, активность которой в последнее время заметно возросла, — это одна и та же группа.

Категории: Аналитика, Вредоносные программы, Главное, Уязвимости