Наскоро разкритата критична уязвимост, засягаща Apache ActiveMQ, активно се експлоатира от заплахи, за да разпространява нов ботнет, базиран на Go, наречен GoTitan, както и програма на .NET, известна като PrCtrl Rat, която е способна да командва дистанционно заразените хостове.
Атаките включват експлоатиране на бъг за изпълнение на отдалечен код (CVE-2023-46604, CVSS оценка: 10.0), който е бил на вооръжение при различни хакерски групировки, включително групата Lazarus, през последните седмици.
След успешно проникване, заплахите са наблюдавани да изпускат вторични носители от отдалечен сървър, един от които е GoTitan, ботнет, предназначен за организиране на разпределени атаки за отказ на услуга (DDoS) чрез протоколи като HTTP, UDP, TCP и TLS.
„Атакуващият предоставя само бинарни файлове за x64 архитектури, а зловредния софтуер извършва някои проверки преди да се стартира,“ каза изследователят от Fortinet Fortiguard Labs Кара Лин в анализ, направен във вторник.
„Той също създава файл, наречен ‘c.log’, който записва времето на изпълнение и статуса на програмата. Този файл изглежда да е дебъг лог за разработчика, което предполага, че GoTitan все още е в ранен етап на развитие.“
Fortinet заяви, че също така е наблюдавала случаи, при които уязвимите сървъри на Apache ActiveMQ се насочват към разпространение на друг ботнет за DDoS, наречен Ddostf, зловреден софтуер Kinsing за криптомайнинг и рамката за команден контрол (C2) Sliver.
Друг значим зловреден софтуер, който се изпраща, е троянец за отдалечен достъп, наречен PrCtrl Rat, който установява връзка с C2 сървър, за да получи допълнителни команди за изпълнение върху системата, за да извлече файлове и за да изтегля и качва файлове от и към сървъра.
„Към момента на публикуване на информацията, ние все още не сме получили никакви съобщения от сървъра, а мотивът зад разпространението на този инструмент остава неясен,“ каза Лин. „Въпреки това, веднъж когато той проникне в потребителската среда, отдалеченият сървър придобива контрол над системата.“
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.