Согласно отчету Positive Technologies, крипто-майнинг-ботнет, продолжающийся почти год, захватывает веб-оболочки других хакеров. Исследователи связывают источник опасного ботнета с бандой Нейтрино.
Еще в 2017 году Neutrino (он же Kasidet) был опасным трояном, который запускал DDoS-атаки, записывал нажатия клавиш и устанавливал вредоносное ПО на настольных компьютерах. Однако люди, стоящие за Нейтрино, надолго исчезли с радаров.
Тем не менее, похоже, что группа вернулась. И на этот раз его целью являются зараженные хосты других вредоносных ботнетов. По словам исследователей в Positive Technologies, Neutrino искала в Интернете различные типы веб-оболочек PHP для взлома.
Веб-оболочки – это вредоносные сценарии, которые хакеры внедряют в веб-приложения, которые они уже взломали. Цель состоит в том, чтобы поддерживать постоянный доступ для удаленного включения вредоносных задач.
Согласно отчету, ботнет Neutrino составляет список веб-оболочек и запускает атаки методом грубой силы для получения доступа. Этот процесс включает попытки угадать учетные данные для входа в веб-оболочку, а затем захватить оболочки и соответствующие серверы. Операция началась в начале 2018 года, когда хакеры начали поиск случайных IP-адресов, особенно для поиска веб-приложений и серверов для заражения.
Исследователи пишут, что ботнет был успешно нацелен Windows серверы, на которых работает phpStudy (среда обучения, популярная среди китайских разработчиков). Помимо этого, исследователи также заметили обычные действия ботнетов, такие как использование уязвимостей, грубое принуждение к учетным записям root для систем phpMyAdmin, Tomcat и MS-SQL.
