Показать сообщение отдельно

Re: IT-безопасность-свежие новости.
Старый 25.05.2016, 10:34   #1050
☭☭☭☭☭
 
Аватар для kroxus

 
Регистрация: 23.05.2012
Адрес: MsK
Сообщений: 10 231

kroxus на форуме

IT-безопасность-свежие новости.


Авторы EITest сменили Angler на Neutrino

Вредоносная кампания EITest, запущенная полтора года назад, не теряет актуальности, лишь время от времени меняет средства распространения зловредов. Проанализировав майские атаки, исследователи из ISC SANS обнаружили, что EITest вновь эволюционировала.

Согласно Брэду Дункану, новый всплеск вызван миграцией с эксплойт-пака Angler на его конкурента Neutrino. «Наблюдая EITest-кампанию, я фиксировал лишь использование Angler для распространения различных вредоносных нагрузок, – пишет исследователь в блоге ISC. – В начале текущего месяца картина изменилась: я обнаружил, что шлюз EITest ведет к Neutrino, а не к Angler».

Кампания EITest была впервые идентифицирована в июле 2014 года экспертами Malwarebytes. Она опирается на тысячи взломанных сайтов со скрипт-редиректором на базе Flash и нацелена на засев разных зловредов, в частности, ворующего информацию троянца Gootkit. Редиректор в данном случае представляет собой фрагмент кода для Flash-приложения, внедряемый в конец стартовой страницы. Инъекция производится на лету и лишь единожды для каждого визитера (определяемого по IP-адресу).

Примечательно, что значение переменной name – EITest – одинаково для всех сайтов, задействованных в данной кампании. Во избежание попадания в черные списки URL источника для Flash-приложения постоянно меняется; множество ссылок, зафиксированных Malwarebytes, были привязаны к поддоменам в зоне .us.to (сервис сокращения ссылок, пользующийся бесплатными DNS-услугами).

Шлюзы Neutrino, по свидетельству Дункана, в настоящее время размещены в блоке 85.93.0.0/24. «В качестве TLD эти шлюзовые домены чаще всего используют .tk, однако на этой неделе мы также зарегистрировали .co.uk», – пишет исследователь.

Что касается полезной нагрузки, то Дункан в обоих случаях, которые он описывает, использовал Adobe Flash Player 20.0.0.306, подверженный уязвимости CVE-2016-1019. Ее эксплойт может вызвать отказ приложения и позволяет исполнить произвольный код.

Ход EITest-кампании также мониторят в Palo Alto Networks. В марте исследователи заметили, что шлюз изредка меняет IP-адрес, а TLD-зоны при этом остаются неизменными – .tk, .uk и .com. «URL шлюза EITest по-прежнему возвращает Flash-файл, перенаправляющий трафик на эксплойт-пак Angler, – рассказали эксперты в мартовской блог-записи. – Этот шлюзовый URL всегда генерирует два HTTP-запроса GET. По первому запросу отдается Flash-файл, по второму – скрипт, указывающий на лендинг-страницу Angler».

По состоянию на 19 мая индикаторы компрометации, зафиксированные на тестовых системах ISC SANS, включали следующие шлюзовые IP на порту 80: EITest – 85.93.0.33 (true.imwright.co.uk), Neutrino – 104.238.185.187 (ndczaqefc.anein.top), Angler – 185.117.75.219 (kmgb0.yle6to.top). При этом достоверно установлено, что Neutrino загружает Gootkit.

Подробности
__________________
пусть всегда будет солнце
  Ответить с цитированием
 
Яндекс.Метрика