Cinq outils de piratage, les pirates utilisent pour cibler vos données
Gratuit – mais puissant – outils sont utilisés par tout le monde, allant de la cyber-criminels d’état-nation opérateurs, dit un rapport de cinq organes de sécurité.
Une nouvelle forme de logiciels malveillants est la numérisation de l’internet pour les exposés des services web et des mots de passe par défaut dans ce qui est pensé pour être d’une opération de reconnaissance, qui pourraient être le signe d’une plus grande cyberattaque est à venir.
Des chercheurs d’at&T Étranger Laboratoires d’abord repéré les logiciels malveillants, en Mars, et l’ont nommé Xwo après son premier nom du module. Il est admis que la Xwo pourrait être liée à deux autres formes de logiciels malveillants – MongoLock ransomware et X Bash, un malware qui roule ransomware, un coinminer, un botnet et un ver de terre en raison des similitudes dans le Python à base de code.
Mais à la différence de MongoLock et Xbash, Xwo n’ont pas de ransomware, cryptocurrency de passe ou tout autre similaire de l’argent capacités de prise: c’est l’objectif principal est l’analyse des informations d’identification et services exposés et l’envoi d’informations de retour à son commandement et de contrôle du serveur.
C’est cette infrastructure qui a déjà été associée à MongoLock et suit un modèle de création de domaines qui imitent les sites web de la cybersécurité, les entreprises et les sites web des nouvelles, et de leur enregistrement .les savoirs traditionnels – le code de pays domaine de premier niveau pour Tokelau, un territoire de la Nouvelle-Zélande dans le Pacifique Sud.
Il est encore incertain comment Xwo a commencé la diffusion ou la façon dont il gagne l’accès à connecté à internet, à des machines, mais le malware est conçu pour effectuer une reconnaissance et d’envoyer des informations à la commande et de contrôle du serveur via une requête HTTP POST.
VOIR: UNE stratégie gagnante pour la cybersécurité (ZDNet rapport spécial) | Télécharger le rapport au format PDF (TechRepublic)
Xwo recueille des informations sur l’utilisation des informations d’identification par défaut dans des services tels que FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcache, ainsi que les informations d’identification par défaut et les erreurs de configuration de Tomcat, une implémentation open source de Java Servlet.
Le malware espère aussi de recueillir des informations sur le Défaut de SVN et Git chemins, le dépôt Git de la version du format de contenu, PhP admin de détails et plus. Il est très probable que le bot est d’effectuer une surveillance des points faibles qui peuvent être exploitées en plus des attaques plus bas sur la ligne.
“Ce malware est entièrement de numérisation. Il tentera d’identifier des objets de valeur et de communiquer les détails à un C2 serveur. Il est de notre conviction que cette idée est ensuite utilisée par l’attaquant pour plus d’attaques à l’extérieur de la Xwo,” Tom Hegel, chercheur en sécurité chez at&T Étranger Labs, a déclaré à ZDNet.
“Alors que la Xwo pas à partir d’une variété de fonctionnalités malveillantes…comme ransomware ou d’exploitation, l’utilisation et le potentiel qu’il détient peut être dommageable pour les réseaux à travers le monde,” at-il dit.
Toutefois, si le groupe derrière Xwo est liée à l’pirates à l’origine de XBash et MongoLock, il ne signifie pas nécessairement qu’ils ont laissé ransomware derrière – il est probable qu’ils sont en examinant un autre moyen nouveau d’attaque pour aider à étendre leurs cyber-arsenal.
“Xwo ne peut pas être un changement majeur dans l’adversaire, changeant de tactique, mais plutôt à eux d’expérimenter avec différentes capacités. Fondée sur notre évaluation de la relation à XBash et MongoLock, l’adversaire a toujours été divers dans leur boîte à outils,” dit Hegel.
Pour aider à contrer la menace de la Xwo, Alien Labs a publié une liste complète des logiciels malveillants sur les Indicateurs de Compromis.
Les chercheurs recommandent également que les propriétaires de réseau devrait éviter l’utilisation de défaut informations d’identification du service et assurer accessibles au public des services sont limités lorsque cela est possible, la prévention de la Xwo et autres numérisation des logiciels malveillants à partir de facilement faire avec l’information.
CloudFlare a été alerté au sujet de la malveillant des domaines C2, qui ont depuis été arrêté, mais il est probable que les attaquants sera de retour avec un nouveau malveillants serveurs pour héberger leur activité.
LIRE PLUS SUR LA CYBERCRIMINALITÉ
Les attaques de piratage sur votre routeur: Pourquoi le pire est encore à venir5 façons d’éviter de haut menaces de logiciels malveillants TechRepublicERP avertissement de sécurité comme les pirates d’intensifier les attaques sur les systèmes deCe qu’il faudra pour la cybersécurité pour devenir de bon sens CNETCette cryptocurrency exploration de malware maintenant désactive les logiciels de sécurité pour aider à rester inaperçue
Rubriques Connexes:
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données