Обзор инцидентов безопасности за минувшую неделю

Прошедшая неделя запомнится рядом инцидентов, в числе которых очередная рекордная DDoS-атака, масштабная майнинговая кампания, затронувшая российских пользователей, а также уязвимость в агенте передачи сообщений Exim, поставившая под угрозу более полумиллиона почтовых серверов. Предлагаем вашему вниманию краткий обзор наиболее значимых событий за период с 5 по 11 марта 2018 года.

Злоумышленники продолжают активно проводить мощные DDoS-атаки с применением метода Memcrashed, предполагающего использование доступных в Сети серверов memcached. В начале марта портал для разработчиков GitHub подвергся рекордной по мощности атаке (1,3 ТБ/с на пике), однако спустя четыре дня рекорд был побит. В этот раз жертвой злоумышленников стал один из американских сервис-провайдеров. По данным экспертов компании Arbor Networks, пиковая мощность данной атаки составляла 1,7 ТБ/с.

Согласно прогнозам специалистов Qihoo 360, такими темпами мощность DDoS-атак с использованием memcached вскоре достигнет 2 ТБ/с. Более того, в Сети уже опубликованы PoC-коды для запуска масштабных DDoS-атак с использованием серверов memcached. Первая утилита представляет собой скрипт на Python под названием Memcacrashed.py, сканирующий Shodan в поисках IP-адресов уязвимых серверов memcached и позволяющий в считанные секунды осуществлять DDoS-атаки на выбранную цель. Второй PoC-код написан на C, к нему также прилагается список из 17 тыс. IP-адресов уязвимых серверов memcached. С помощью инструмента злоумышленник может осуществить DDoS-атаку на целевой объект, используя для усиления ее мощности серверы memcached из прилагаемого перечня.

На прошлой неделе компания Microsoft сообщила о масштабной майнинговой кампании, в основном затронувшей пользователей из России, Турции и Украины. В рамках кампании злоумышленники распространяли ряд троянов семейства Dofoil (также известно как Smoke Loader), загружавших на компьютер жертвы программу для майнинга криптовалюты. Проанализированные экспертами образцы использовались для добычи Electroneum, но, судя по всему, майнер может добывать и другую криптовалюту.

На минувшей неделе исследователь безопасности Мех Чан сообщил об опасной уязвимости в агенте передачи сообщений Exim, используемом в операционных системах семейства Unix, поставившей под угрозу более 500 тыс. почтовых серверов. Уязвимость представляет собой однобайтовое переполнение буфера в функции декодирования base64 и позволяет злоумышленнику обмануть сервер Exim и выполнить вредоносные команды до того, как атакующему потребуется авторизоваться на сервере.

Ажиотаж вокруг криптовалют не утихает вот уже на протяжении нескольких месяцев, и киберпреступники не гнушаются использовать различные методы для их добычи. В частности, эксперты IBM обнаружили модификацию банковского трояна TrickBot, подменяющего адрес криптовалютного кошелька жертвы на адрес кошелька злоумышленника, и таким образом ворующего средства пользователей.

Майнеры криптовалюты стали более агрессивными. К примеру, исследователь безопасности Ксавье Мертенс (Xavier Mertens) обнаружил скрипт Powershell, который не только загружает программу для добычи криптовалюты, но также ищет и «устраняет» майнеров-конкурентов на устройстве пользователя.