• 🔥 Бесплатный курс от Академии Кодебай: «Анализ защищенности веб-приложений»

    🛡 Научитесь находить и использовать уязвимости веб-приложений.
    🧠 Изучите SQLi, XSS, CSRF, IDOR и другие типовые атаки на практике.
    🧪 Погрузитесь в реальные лаборатории и взломайте свой первый сайт!
    🚀 Подходит новичкам — никаких сложных предварительных знаний не требуется.

    Доступ открыт прямо сейчас Записаться бесплатно

News Новый бэкдор использует Bitmessage для маскировки командного трафика и распространяется вместе с криптомайнером

1748288071136.webp


Исследователи из ASEC (AhnLab Security Emergency response Center) ранее неизвестный вредоносный бэкдор, отличающийся нестандартным способом связи с командным сервером — через пиринговую сеть Bitmessage. Вместе с ним злоумышленники разворачивают майнер криптовалюты Monero на взломанных серверах, что позволяет им одновременно контролировать систему и получать прибыль от майнинга.

Bitmessage — это защищённый P2P-протокол обмена сообщениями, ориентированный на анонимность и децентрализацию. В отличие от традиционного HTTP-трафика и IP-подключений, он шифрует всё содержимое и затрудняет отслеживание как отправителей, так и получателей. Эта особенность активно используется злоумышленниками: бэкдор внедряет команды C2 (command and control) в зашифрованные сообщения, маскируя их под обычную активность пользователей сети Bitmessage.

Для реализации связи злоумышленники использовали Python-библиотеку PyBitmessage, которая обрабатывает сообщения в формате, схожем с легитимным веб-трафиком. Это усложняет задачу системам кибербезопасности — вредоносные команды сложно отличить от нормальной сетевой активности.

Атака начинается с доставки зашифрованной полезной нагрузки. После активации вредоносный код расшифровывается с помощью XOR и устанавливает два компонента: бэкдор и криптомайнер. Последний использует три ключевых файла — config.json, WinRing0x64.sys и idle_maintenance.exe — которые размещаются во временной директории %Temp%\3048491484896530841649.

Сам бэкдор реализован на PowerShell и запускает сервер, прослушивающий локальный порт 8442, куда перенаправляются POST-запросы, обрабатываемые PyBitmessage. При установке компоненты пытаются загрузиться с GitHub-репозитория, но если это невозможно — используется альтернативный источник: сайт-хостинг spcs.bio.

Эксперты предупреждают, что из-за использования децентрализованной инфраструктуры обнаружение и блокировка такого вредоносного ПО требует более сложных и поведенческих методов анализа.​
 
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab