darask
New member
Киберпреступная группировка из Китая под названием Rocke, которая прославилась тем, что организовала многочисленные крупномасштабные кампании по криптомайнингу, теперь применяет новую инфраструктуру CC-сервера и обновленное вредоносное программное обеспечение для уклонения от обнаружения.
Rocke —группировка, главной целью которой является материальное обогащение, была впервые обнаруженна в апреле 2018 года, когда преступники эксплуатировали непропатченные серверы Apache Struts, Oracle WebLogic и Adobe ColdFusion и заражали пользователей вредоносным ПО из контролируемых злоумышленниками репозиториев Gitee и GitLab.
Исследователи из компании Anomali Labs утверждают, что летом 2019 года преступники сменили CC инфраструктуру и отказались от использования Pastebin в пользу собственного автономного решения. Установочные скрипты были размещены на доменах lsd.systemten.org и update.systemten.org. В сентябре операторы отказались от размещения скриптов на выделенных серверах и начали использовать текстовые записи системы доменных имен (DNS). Доступ к записям осуществляется через обычные DNS-запросы или протокол DNS-over-HTTP (DoH) в случае сбоя DNS-запроса.
Помимо этого, группировка добавила в свое вредоносное ПО новую функцию для эксплуатации уязвимости CVE-2016-3088 в серверах Apache ActiveMQ. Эта функция помогает операторам настроить процесс майнинга Monero (XMR) на скомпрометированных системах, а также выслеживает и отключает все процессы, активно использующие ресурсы ЦП.
Криптоджекинг – это способ скрытого майнинга криптовалюты на чужом оборудовании. Угроза заражения вирусом-майнером появилась сравнительно недавно и уже набрала обороты, стремительно развиваясь и приобретая новые формы. Криптоджекинг включает в себя майнинг с использованием чужих браузеров и устройств любых типов – от настольных компьютеров и ноутбуков до смартфонов и сетевых серверов.
Rocke —группировка, главной целью которой является материальное обогащение, была впервые обнаруженна в апреле 2018 года, когда преступники эксплуатировали непропатченные серверы Apache Struts, Oracle WebLogic и Adobe ColdFusion и заражали пользователей вредоносным ПО из контролируемых злоумышленниками репозиториев Gitee и GitLab.
Исследователи из компании Anomali Labs утверждают, что летом 2019 года преступники сменили CC инфраструктуру и отказались от использования Pastebin в пользу собственного автономного решения. Установочные скрипты были размещены на доменах lsd.systemten.org и update.systemten.org. В сентябре операторы отказались от размещения скриптов на выделенных серверах и начали использовать текстовые записи системы доменных имен (DNS). Доступ к записям осуществляется через обычные DNS-запросы или протокол DNS-over-HTTP (DoH) в случае сбоя DNS-запроса.
Помимо этого, группировка добавила в свое вредоносное ПО новую функцию для эксплуатации уязвимости CVE-2016-3088 в серверах Apache ActiveMQ. Эта функция помогает операторам настроить процесс майнинга Monero (XMR) на скомпрометированных системах, а также выслеживает и отключает все процессы, активно использующие ресурсы ЦП.
Криптоджекинг – это способ скрытого майнинга криптовалюты на чужом оборудовании. Угроза заражения вирусом-майнером появилась сравнительно недавно и уже набрала обороты, стремительно развиваясь и приобретая новые формы. Криптоджекинг включает в себя майнинг с использованием чужих браузеров и устройств любых типов – от настольных компьютеров и ноутбуков до смартфонов и сетевых серверов.