Убийца корпоративных сетей: вредоносная кампания DarkCracks захватывает сервера

Безопасный VPN через Телеграмм – обойди все блокировки:

Первые признаки взлома появляются лишь спустя месяцы после атаки.

Исследователи безопасности из китайской компании QiAnXin обнаружили новую сложную вредоносную кампанию под названием DarkCracks, которая использует взломанные веб-сайты GLPI и WordPress для распространения вредоносных загрузчиков и управления заражёнными устройствами. Кампания была выявлена после анализа подозрительных файлов, отправленных на VirusTotal, где было замечено полное отсутствие детектирования антивирусами.

DarkCracks представляет собой систему доставки и обновления вредоносных программ, рассчитанную на долгосрочную эксплуатацию взломанных устройств. Вредоносные компоненты внедряются через сайты общественного пользования, такие как школьные порталы, системы бронирования и городские транспортные системы. Заражённые устройства выполняют роль узлов для дальнейшего распространения вредоносного ПО и контроля над другими заражёнными устройствами.

Схема работы DarkCracks сложна и изощрённа: атака начинается с загрузки вредоносных файлов на целевые серверы, которые затем скачивают и запускают дополнительные компоненты. Эти компоненты отвечают за сбор данных с заражённых устройств, поддержку долгосрочного доступа и скрытое управление. Атака в основном нацелена на высокопроизводительные устройства, которые могут служить серверами управления и контроля (C2) и загружать новые версии вредоносных файлов.

Особенностью кампании DarkCracks является её способность к маскировке и устойчивость к обнаружению. Многие компоненты вредоносного ПО оставались незамеченными на протяжении года. Несмотря на попытки исследователей проанализировать все элементы, некоторые части системы до сих пор остаются необнаруженными, в частности, основная компонента под названием Launcher, отвечающая за запуск атакующих процессов.

Купи VPN в России за минуту через наш Телеграмм-бот:

Одной из уникальных находок стало использование файла-ловушки, названного «김영미 이력서» (резюме на корейском), что предполагает целенаправленное фишинговое воздействие на корейских пользователей. Этот документ, защищённый паролем, был загружен на один из серверов, участвующих в кампании.

  Возвращение Predator: санкции бессильны перед новым цифровым монстром

Исследование началось в июне 2024 года, когда команда QiAnXin зафиксировала подозрительный трафик, исходящий с IP-адреса, принадлежащего системе GLPI. Впоследствии было установлено, что злоумышленники использовали скомпрометированные серверы для загрузки вредоносных файлов, скрывая свою активность через многослойные механизмы маскировки и обновления.

Тем не менее, несмотря на тщательную маскировку и использование продвинутых методов шифрования данных, QiAnXin смогла выявить компоненты системы и понять основную логику её работы. Система доставки вредоносных программ работает по принципу трёхуровневой проверки URL, что позволяет ей находить резервные копии компонентов в случае, если основной сервер будет отключён.

Исследователи предупреждают администраторов IT-систем о необходимости повышенного внимания к подозрительным процессам на серверах, особенно к системам, связанным с IT-активами и веб-контентом, таким как GLPI и WordPress. Для защиты от таких угроз рекомендуется регулярно обновлять ПО, устанавливать патчи безопасности и проверять логи на наличие подозрительного сетевого трафика.

DarkCracks является очередным напоминанием о том, что злоумышленники продолжают разрабатывать всё более сложные и труднообнаружимые системы для взлома и кражи данных, поэтому защита корпоративных сетей требует постоянного совершенствования и внимательности.

Искусственный интеллект уже умнее вас. Как не стать рабом машин?

Узнайте у нас!

Платный VPN сервис — это инвестиция в вашу безопасность и конфиденциальность в интернете. Он предлагает множество преимуществ, включая защиту данных, отсутствие ограничений и доступ к обширной сети серверов. Если вы активно пользуетесь интернетом и хотите обезопасить свои данные, платный VPN будет лучшим выбором для вас.

Почему стоит использовать платный VPN сервис?

  • Безопасность: Если вы цените свою конфиденциальность и безопасность в интернете, платный VPN предоставляет более высокий уровень защиты по сравнению с бесплатными альтернативами.
  • Надёжность: Платные VPN-сервисы обычно имеют лучшие показатели надёжности и скорости, что делает их более подходящими для стриминга видео, скачивания и онлайн-игр.
  • Без рекламы: Большинство платных сервисов не показывают рекламу, в отличие от бесплатных, которые могут зарабатывать на размещении рекламы.
  Patch Tuesday: 89 причин обновить Windows прямо сейчас

Добавить комментарий

Вернуться наверх