1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Обнаружен новый набор эксплоитов Terror

Тема в разделе "Новости информационной безопасности", создана пользователем Severnyj, 12 янв 2017.

  1. Severnyj
    Оффлайн

    Severnyj Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    8.484
    Симпатии:
    9.201
    Набор эксплоитов Terror, обнаруженный в декабре 2016 года специалистами компаний Trustwave и Malwarebytes, отличается от своих «коллег по цеху».

    Судя по всему, за этой разработкой стоит не хакерская группа, а всего один человек. Это обстоятельство определенно сказалось на качестве разработки. Так, исследователи Trustwave шутят, что набор скорее стоило бы назвать Error.

    Эксперты пишут, что Terror хостит целевые страницы и сами эксплоиты на одном сервере, и авторы малвари, как правило, так не поступают. Кроме того, Terror использует устаревшую технику «ковровой бомбардировки» (carpet bombing), атакуя всех пользователей, попавших на целевые страницы, всем арсеналом эксплоитов сразу. Как правило, серьезные эксплоит киты атакуют только уязвимых пользователей и задействуют для этого конкретные инструменты, которые эксплуатируют обнаруженные баги.

    По данным Trustwave, в состав Terror исходно входили восемь эксплоитов, которые применялись одновременно:

    • CVE-2014-6332 — Internet Explorer
    • CVE-2016-0189 — Internet Explorer
    • CVE-2015-5119 — Adobe Flash
    • CVE-2015-5122 — Adobe Flash
    • CVE-2013-1670/CVE-2013-1710 — Firefox
    • CVE-2014-1510/CVE-2014-1511 — Firefox
    • CVE-2014-8636 — Firefox
    • CVE-2015-4495 — Firefox
    Но в такой форме Terror проработал недолго. Исследователи пишут, что оператор эксплоит кита свернул работу Terror и переключился на эксплоит кит Sundown, которым занимался около недели. Затем он снова вернулся к Terror и создал новую версию: после проведенного теста ряд эксплоитов были позаимствованы у Sundown.

    [​IMG]

    В это время, в начале января 2017 года, многие эксперты приняли Terror за новую вариацию Sundown, так как автор Terror скопировал изрядную часть кода конкурентов. Кроме того, разработчик забыл провести обфускацию, что смутило исследователей, и раскрыло данные еще о четырех эксплоитах:

    • CVE-2013-2551 — Internet Explorer
    • CVE-2014-6332 — Internet Explorer
    • CVE-2015-7645 — Adobe Flash
    • CVE-2016-4117 — Adobe Flash
    Лишь одно не менялось в ходе всех описанных пертурбаций – эксплоит кит в итоге доставлял на машину жертвы… майнера криптовалюты Monero. Так как автор Terror явно не был профессионалом, специалисты без труда обнаружили, что конфигураторы для своего майнера он расположил на GitHub и Pastebin, откуда их не оставило труда удалить, подорвав кампанию злоумышленника.

    «После месяца наблюдений за данным набором эксплоитов, мы всерьез подозреваем, что за этой операцией стоит один человек Майнинг криптовалюты не слишком прибыльное занятие, но для одиночки – это неплохое решение. После заражения хоста, и до тех пор, пока майнер на нем работает, вы в прибыли. И никаких проблем», — пишут исследователи Trustwave.

    Обнаружен новый набор эксплоитов Terror - Новости и Обзоры
     
    orderman, Kиpилл и shestale нравится это.

Поделиться этой страницей