Vijf hacking-tools die aanvallers gebruiken om uw gegevens te richten
Gratis – maar-krachtig – tools worden gebruikt door iedereen, variërend van cybercriminelen om de natie-staat, exploitanten, zegt een rapport van vijf overheid veiligheids-en inlichtingendiensten.
Een nieuwe vorm van malware scannen het internet voor zichtbare web services en standaard wachtwoorden in wat er is gedacht aan een verkenning bediening – één die zouden kunnen duiden op een grotere cyberaanval te komen.
Onderzoekers van AT&T Buitenaardse Labs voor het eerst gespot de malware in Maart en hebt de naam van het Xwo na de primaire naam van een module. Het is dacht dat Xwo kon worden in verband met twee andere vormen van schadelijke software – MongoLock ransomware en X-Bash, een malware die rollen ransomware, een coinminer, een botnet en een worm in een – vanwege overeenkomsten in de Python-gebaseerde code.
Maar in tegenstelling tot MongoLock en Xbash, Xwo geen ransomware, cryptocurrency mining ‘ of op enige andere soortgelijke geld-het maken van mogelijkheden: het is de belangrijkste focus is het scannen van voor referenties en blootgesteld diensten en het versturen van informatie terug naar de command and control server.
Het is deze infrastructuur, die eerder geassocieerd met MongoLock en volgt een patroon van maken domeinen die lijken op de websites van cybersecurity bedrijven en nieuws websites en het registreren van hen .tk – het country code top-level domein voor de Tokelau-eilanden, een gebied van Nieuw-Zeeland in het Zuiden van de Stille oceaan.
Het is nog onzeker hoe Xwo begonnen met het verspreiden of hoe het toegang krijgt tot het internet aangesloten apparaten, maar de malware is ontworpen om uit te voeren verkenning en terug te sturen informatie naar de command and control server via een HTTP POST-verzoek.
ZIE: EEN winnende strategie voor cybersecurity (ZDNet speciale rapport) | Download het rapport als PDF (TechRepublic)
Xwo verzamelt informatie over het gebruik van standaard referenties bij services zoals FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached, evenals standaard aanmeldingsgegevens en voor onjuiste Tomcat, een open source implementatie van Java Servlet.
De malware ziet er ook om informatie te verzamelen over het Standaard SVN en Git paden, Git repository formaat versie content, PhP admin details en meer. Het is zeer waarschijnlijk dat de bot is het uitvoeren van toezicht op de zwakke punten die kunnen worden benut in meer schadelijke aanvallen verder naar beneden de lijn.
“Deze malware is volledig scannen-basis. Het zal proberen om het identificeren van waardevolle doelen en rapporteren van de gegevens aan een C2-server. Het is onze overtuiging dat dit inzicht wordt vervolgens gebruikt door de aanvaller verder aanvallen buiten Xwo,” Tom Hegel, security researcher at&T Buitenaardse Labs, vertelde ZDNet.
“Terwijl Xwo een steenworp afstand van een verscheidenheid van schadelijke functies…zoals ransomware of exploits, het algemene gebruik en de potentiële houdt schadelijk kan zijn voor netwerken over de hele wereld,” zei hij.
Echter, als de groep achter Xwo is gekoppeld aan de aanvallers achter XBash en MongoLock, het hoeft niet te betekenen dat ze nog ransomware achter – het is waarschijnlijk dat ze het onderzoeken van een andere nieuwe middelen van aanval om te helpen bij het uitbreiden van hun cyber arsenaal.
“Xwo kan niet worden een belangrijke verschuiving in de tegenstander het veranderen van tactiek, maar ze experimenteren met verschillende mogelijkheden. Op basis van onze beoordeling van de relatie met XBash en MongoLock, de tegenstander heeft in het verleden is divers in hun toolset,” zei Hegel.
Om te helpen tegen de bedreiging van Xwo, Alien Labs heeft gepubliceerd een volledige lijst van de malware-Indicatoren van het Compromis.
De onderzoekers raden ook aan dat netwerk eigenaars moet voorkomen dat het gebruik van standaard service referenties en zorgen voor het publiek toegankelijke diensten worden beperkt als mogelijk, voorkomen van Xwo en andere het scannen op malware eenvoudig te maken uit met informatie.
CloudFlare heeft al gewaarschuwd over de schadelijke C2 domeinen, die zijn inmiddels beëindigd, maar het is waarschijnlijk dat de aanvallers terug met nieuwe kwaadaardige servers voor het hosten van hun activiteit.
LEES MEER OVER CYBERCRIMINALITEIT
Hack-aanvallen op uw router: Waarom moet het ergste nog komen5 manieren om te voorkomen dat de top malware-bedreigingen TechRepublicERP-beveiligingswaarschuwing als hackers een stap omhoog aanvallen op systemenWat het zal duren voor cybersecurity te worden common sense CNETDit cryptocurrency mijnbouw malware nu schakelt de beveiliging van software om te helpen blijven onopgemerkt
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters