0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Как взломать взломщика? Достаточно найти в его коде одну «забытую кнопку»

Ctrl-Alt-Int3l ErrTraffic LenAI Aeternum C2 уязвимости вредоносное ПО киберпреступность
Как взломать взломщика? Достаточно найти в его коде одну «забытую кнопку»
Ctrl-Alt-Int3l ErrTraffic LenAI Aeternum C2 уязвимости вредоносное ПО киберпреступность

Иногда для краха целой империи хватает банальной невнимательности.

image

Специалисты из проекта Ctrl-Alt-Int3l опубликовали разбор исходного кода платформы ErrTraffic, которая используется в криминальной среде для распространения вредоносного ПО. Исследование показало, что архитектура этого инструмента изначально содержит целый набор логических уязвимостей, позволяющих перехватывать управление панелью и использовать её против самих операторов.

ErrTraffic представляет собой мультиплатформенную систему распределения трафика, работающую на Windows, macOS, Android и Linux. Она применяется для размещения вредоносных загрузок через внешние JavaScript-скрипты на скомпрометированных или подконтрольных сайтах. Авторы отчёта получили доступ к исходникам панели управления и провели детальный анализ логики установки, загрузки файлов и взаимодействия с базой данных.

В коде были выявлены критические проблемы. Среди них — возможность повторной инициализации панели через открытый файл установки install.php, что позволяет заменить базу данных на подконтрольную и обойти аутентификацию. Также обнаружены механизмы загрузки файлов без серверной проверки типов и расширений, что даёт возможность размещать исполняемые PHP-файлы и добиваться удалённого выполнения кода. В более новых версиях часть ограничений была добавлена, но альтернативные точки замены файлов сохранились без какой-либо валидации.

Отдельное внимание уделено работе с базой данных. Хранение путей к файлам внутри MySQL позволяет при контроле над БД подменять значения и использовать обход директорий для чтения системных файлов или исходного кода панели. Это делает возможным не только компрометацию сервера, но и утечку конфиденциальных данных.

В рамках анализа также упоминается связь ErrTraffic с другими криминальными проектами. В панели обнаружены упоминания загрузчика Aeternum C2 BotNet Loader, использующего инфраструктуру управления на базе блокчейн-контрактов. Контактные данные продавца совпадают с никнеймом LenAI, под которым ErrTraffic рекламировался на подпольных форумах.

Авторы отчёта отмечают, что попытки усилить защиту в новых версиях выглядят фрагментарными и не закрывают базовые логические ошибки. По их оценке, подобные инструменты, созданные с использованием автоматизированной разработки, снижают порог входа для злоумышленников, но одновременно формируют предсказуемые и системные уязвимости, которые могут быть использованы против самих операторов таких платформ.