Cisco опубликовала подробный анализ набора эксплоитов Nuclear

image

Теги: набор эксплоитов, Nuclear, Angler, Cisco

В обновленном наборе Nuclear реализовано несколько функций, которые присутствуют в другом инструменте для кибератак - Angler.

Злоумышленники пытаются распространить различные вредоносные пейлоады при помощи усовершенствованной версии набора эксплоитов Nuclear. Об этом сообщил специалист Talos Security Intelligence and Research Group (подразделение в составе Cisco) Ник Биасини (Nick Biasini) в официальном блоге компании Cisco. Кроме того, похоже, что авторы обновленной версии Nuclear слишком усложнили ПО и оно не работает должным образом.

Биасини сообщил, что в усовершенствованном наборе Nuclear реализовано несколько функций, которые присутствуют в других инструментах для кибератак, наподобие Angler. В частности, Nuclear использует «затемнение домена» (Domain Shadowing) и технику промежуточных доменов, известную также как 302 cushioning (когда сервер выдает ошибку 302 с автоматическим перенаправлением), включенные в состав Angler.

Обычно злоумышленники используют собственные зарегистрированные доменные имена. Однако текущая вредоносная кампания активно использовала домены верхнего уровня. Такой подход предоставляет хакерам новые возможности и функционал.

В отчете Talos также говорится о большом бизнесе и огромной популярности эксплоитов для Web среди хакеров. За последние 6 месяцев эта ниша черного рынка преобразилась и наполнилась новыми технологиями, такими как Nuclear.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.