Киберпреступники, предположительно из Китая, контролируют ботнет из 15 тыс. скомпрометированных серверов под управлением Windows Server, использующийся для генерирования криптовалюты, в основном Monero. Помимо майнинга, взломанные системы также используются для осуществления атак на другие хосты.
Первыми ботнет обнаружили исследователи компании GuardiCore. Основываясь на оставленных в исходном коде вредоносного ПО подсказках, эксперты определили, что ботнетом управляет группировка под название Bond007.01. Ботнет, получивший название Bondnet, появился в декабре 2016 года и стремительно набрал мощность. Как уже упоминалось, в настоящее время он включает в себя 15 тыс. скомпрометированных систем с более 2 тыс. ежедневно активных ботов.
По словам исследователей, хакеры Bond007.01 построили свою сеть с помощью самых разных техник. В частности злоумышленники применяют различные эксплоиты и осуществляют брутфорс-атаки на компьютеры со слабыми паролями для RDP. Касательно эксплоитов, хакеры используют уязвимости в phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic и пр.
Проэксплуатировав уязвимость, с помощью скриптов DLL и Visual Basic хакеры загружают и устанавливают на систему жертвы троян для удаленного доступа (RAT) и майнер криптовалюты. Помимо Monero, ботнет генерирует ByteCoin, RieCoin или ZCash. Все входящие в него компьютеры работают под управлением Windows Server, и 55% из них – под управлением Windows Server 2008 R2.
Источник: securitylab.ru
