• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Статья Остерегайтесь вредоносных программ Prowli, которые взломали более 40000 компьютеров по всему миру

AnnaDavydova

Перевожу для codeby
06.08.2016
88
484
#1



Новая вредоносная кампания, получившая название Operation Prowli, заражает ряд отраслей, таких как финансовая, образовательная и правительственная. Вредоносная программа Prowli скомпрометировала более 40 000 компьютеров и 9 000 компаний по всему миру.

Вредоносная программа Prowli использует различные методы атаки, такие как brute-forcing, эксплойты и слабые конфигурации. Она предназначена для серверов хостинга CMS, серверов резервного копирования, HP Протектор данных, DSL-модемов и устройств IoT.

Исследователи безопасности Guardicore обнаружили проблему с вредоносным ПО, она использует общие методы для монетизации криптовалютной добычи и перенаправления пользователей на
Для просмотра контента необходимо: Войти или зарегистрироваться
.

Заражение вредоносной программой Prowli

Киберпреступники, пользующиеся Prowli, взломали огромное количество IP-адресов и доменов, работающих с различными службами, которые подвергаются воздействию в Интернете.

Работа Prowli нацелена на ряд организаций независимо от их размера и дистрибутива. Он скомпрометировал различные службы, которые уязвимы для удаленных атак с предварительной аутентификацией или для brute-force атак.




Целевые сервисы

Drupal CMS websites – brute-force
WordPress sites – brute-force
DSL modems – brute-force
Joomla – CVE-2018-7482
Servers with Open SSH port – brute-force
Уязвимые IoT устройства – brute-force
Сервера, предоставляющие программное обеспечение для HP Data Protector – через порт 5555 –
Для просмотра контента необходимо: Войти или зарегистрироваться

Сервера, представленные для SMB ports – brute-force
PhpMyAdmin инсталляции – brute-force




Методы монетизации

Guardicore говорит, что атакующие, в основном, сосредоточились на зарабатывании денег, и они использовали два общих способа получения для дохода.

  • Добыча криптовалюты
  • Траффик монетизации
Поскольку у них есть серверы, взломанные злоумышленниками, работа Prowli заражает сервер или устройство IoT с помощью Monero miner и с самораспространяющимся червем r2r2, которые перехватывают SSH-логины.




Группа Prowli продает трафик через roi777, который платит за поток информации, отправленный через них. Атакующие использовали webshells «WSO Web Shell» для размещения вредоносных скриптов на веб-сайте и для перенаправления легального трафика веб-сайта на мошеннические сайты.

Guardicore опубликовал
Для просмотра контента необходимо: Войти или зарегистрироваться
вместе с индикаторами взлома и другими подробностями.

Операция, нацеленная на множество уязвимостей и проведения brute-force атак. Для предотвращения подобных атак сервер должен быть пропатчен от известных уязвимостей, и он должен использовать защищенные учетные данные.

Источник:
Для просмотра контента необходимо: Войти или зарегистрироваться
 
Вверх Снизу