F
FRANKENSTEIN
Новая многоступенчатая атака с использованием серверов Elasticsearch, использующих старую уязвимость unpatched для вызова оболочки с обработанным запросом и закодированными командами Java. Атака направлена на доставку BillGates / Setag Backdoor против уязвимых серверов Elasticsearch.
Атака нацелена на уже исправленную уязвимость в Groovy scripting engine (версии 1.3.0 – 1.3.7 и 1.4.0-1.4.2), и уязвимость можно отслеживать как CVE-2015-1427, что позволяет злоумышленникам уклоняться от песочницы и выполнять произвольные команды оболочки с помощью созданного скрипта.
Исследователи безопасности из TrendMicro определили атаку “ " участники угрозы, стоящие за этой атакой, использовали кодировку URL-адресов, организовали, где сценарии извлекаются, и скомпрометированные законные веб-сайты могут означать, что они просто тестируют свои инструменты взлома или подготавливают свою инфраструктуру перед установкой фактических атак.”
Цепочка Заражения-Серверы Elasticsearch
Атака начинается с поиска общедоступных баз данных/серверов Elasticsearch и включает в себя два этапа. Как только общедоступный сервер найден, он “вызывает оболочку с обработанным злоумышленником поисковым запросом с закодированными командами Java”.
Если сервер уязвим, то запрос будет выполнен успешно и загружает сценарий первого этапа, который пытается остановить запуск брандмауэра и загружает второй этап полезной нагрузки с помощью команды curl или wget.
На втором этапе сценария, аналогичном первому, предпринимается попытка остановить брандмауэр, а также определенные файлы сценариев, связанные с майнерами криптовалют, различными конфигурационными файлами и другими нежелательными процессами для запуска его работы.
Кроме того, он удаляет начальные стадии инфекции, полезные нагрузки, вероятно, будут загружены с зараженных веб-сайтов, чтобы избежать обнаружения.
"Более пристальный взгляд на двоичные файлы показал вариант бэкдора, который крадет системную информацию и может запускать DDoS-атаки. Образцы имеют признаки вредоносного ПО BillGates.”
Вредоносная программа была впервые обнаружена в 2014 году и используется для запуска DDoS-атак, инструментарий включает в себя ICMP flood, TCP flood, UDP flood, SYN flood, HTTP Flood (Layer7) и DNS query-of-reflection flood.
Основываясь на отчете TrendMicro , “эта вредоносная программа также заменяет системные папки затронутых систем (что позволяет просматривать информацию о системе или устройстве) своей копией и переносит их в каталог /usr/bin/dpkgd.”
Indicators of Compromise (IoCs):
Код:
8ebd963f86ba62f45b936f6d6687ccb1e349a0f8a6cc19286457895c885695c8 (.pprt)
cfe3dccf9ba5a17e410e8e7cf8d0ff5c1b8688f99881b53933006250b6421468 (.ppol)
Related domains/URLs:
hxxps://crazydavesslots[.]com/[.]ppol
hxxp://aduidc[.]xyz