Cisco опубликовала подробный анализ набора эксплоитов Nuclear
В обновленном наборе Nuclear реализовано несколько функций, которые присутствуют в другом инструменте для кибератак - Angler.
Злоумышленники пытаются распространить различные вредоносные пейлоады при помощи усовершенствованной версии набора эксплоитов Nuclear. Об этом сообщил специалист Talos Security Intelligence and Research Group (подразделение в составе Cisco) Ник Биасини (Nick Biasini) в официальном блоге компании Cisco. Кроме того, похоже, что авторы обновленной версии Nuclear слишком усложнили ПО и оно не работает должным образом.
Биасини сообщил, что в усовершенствованном наборе Nuclear реализовано несколько функций, которые присутствуют в других инструментах для кибератак, наподобие Angler. В частности, Nuclear использует «затемнение домена» (Domain Shadowing) и технику промежуточных доменов, известную также как 302 cushioning (когда сервер выдает ошибку 302 с автоматическим перенаправлением), включенные в состав Angler.
Обычно злоумышленники используют собственные зарегистрированные доменные имена. Однако текущая вредоносная кампания активно использовала домены верхнего уровня. Такой подход предоставляет хакерам новые возможности и функционал.
В отчете Talos также говорится о большом бизнесе и огромной популярности эксплоитов для Web среди хакеров. За последние 6 месяцев эта ниша черного рынка преобразилась и наполнилась новыми технологиями, такими как Nuclear.
Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!