Търсене
Close this search box.

Ботнетът GoTitan забелязан при експлоатиране на последната уязвимост в Apache ActiveMQ

Наскоро разкритата критична уязвимост, засягаща Apache ActiveMQ,  активно се експлоатира от заплахи, за да разпространява нов ботнет, базиран на Go, наречен GoTitan, както и програма на .NET, известна като PrCtrl Rat, която е способна да командва дистанционно заразените хостове.

Атаките включват експлоатиране на бъг за изпълнение на отдалечен код (CVE-2023-46604, CVSS оценка: 10.0), който е бил на вооръжение при  различни хакерски групировки, включително групата Lazarus, през последните седмици.

След успешно проникване, заплахите са наблюдавани да изпускат вторични носители от отдалечен сървър, един от които е GoTitan, ботнет, предназначен за организиране на разпределени атаки за отказ на услуга (DDoS) чрез протоколи като HTTP, UDP, TCP и TLS.

„Атакуващият предоставя само бинарни файлове за x64 архитектури, а зловредния софтуер извършва някои проверки преди да се стартира,“ каза изследователят от Fortinet Fortiguard Labs Кара Лин в анализ, направен във вторник.

„Той също създава файл, наречен ‘c.log’, който записва времето на изпълнение и статуса на програмата. Този файл изглежда да е дебъг лог за разработчика, което предполага, че GoTitan все още е в ранен етап на развитие.“

GoTitan Botnet

Fortinet заяви, че също така е наблюдавала случаи, при които уязвимите сървъри на Apache ActiveMQ се насочват към разпространение на друг ботнет за DDoS, наречен Ddostf, зловреден софтуер Kinsing за криптомайнинг и рамката за команден контрол (C2) Sliver.

Друг значим зловреден софтуер, който се изпраща, е троянец за отдалечен достъп, наречен PrCtrl Rat, който установява връзка с C2 сървър, за да получи допълнителни команди за изпълнение върху системата, за да извлече файлове и за да изтегля и качва файлове от и към сървъра.

„Към момента на публикуване на информацията, ние все още не сме получили никакви съобщения от сървъра, а мотивът зад разпространението на този инструмент остава неясен,“ каза Лин. „Въпреки това, веднъж когато той проникне в потребителската среда, отдалеченият сървър придобива контрол над системата.“

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
21 юни 2024

Хакери на Хамас шпионират Палестина и Египет

Хакери, свързани с Хамас, са замесени в пет кампании за кибершпиона...
20 юни 2024

Сериозна уязвимост на Phoenix UEFI

Стотици модели компютри и сървъри, които използват процесори на Int...
20 юни 2024

Измама на Markopolo е насочена към потребителит...

Установен е извършител на заплаха с псевдоним markopolo, който стои...
Бъдете социални
Още по темата
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
02/04/2024

TheMoon със злонамерен бот...

Остарелите SOHO маршрутизатори и IoT устройства...
23/03/2024

Алабама се бори с DDoS киб...

Хактивистката група Anonymous Sudan претендира за...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!