Как стать автором
Обновить

Google подала в суд на двух россиян за создание ботнета, который заразил более миллиона ПК на Windows по всему миру

Информационная безопасность *IT-компании

Google подала в суд на 17 человек, включая двоих россиян, которых компания обвинила в создании ботнета Glupteba, заразившего более миллиона компьютеров на  Windows. Google называет Дмитрия Старовикова и Александра Филиппова основными операторами Glupteba, ссылаясь на учетные записи Gmail и Google Workspace, которые они якобы создали для управления ботнетом.

Читать далее
Всего голосов 12: ↑12 и ↓0 +12
Просмотры 3.8K
Комментарии 0

Ботнет TDL4 сдаётся в аренду?

Блог компании ESET NOD32
Не так давно нами была замечена интересная особенность в некоторых новых сэмплах руткита TDL4 (Win32/Olmarik.AOV). Если кто не в курсе, данному руткиту удаётся удерживать звание самой технологичной массовой вредоносной программы вот уже на протяжении нескольких лет. Это первый полноценный руткит для x64, которому удалось в обход проверки цифровой подписи и PatchGuard пробраться в ядро на 64-битных системах.

Дело в том, что после своей успешной установки, некоторые экземпляры этого руткита устанавливают в систему троянцев из семейства Win32/Glupteba. Это наводит на мысли о том, что ресурсы данного ботнета начали сдавать в аренду. Так же интересно, что нет дальнейшего взаимодействия между ботами Win32/Glupteba и TDL4.
Читать дальше →
Всего голосов 51: ↑48 и ↓3 +45
Просмотры 14K
Комментарии 19

Win32/Glupteba больше не связана с операцией Windigo

Блог компании ESET NOD32 Антивирусная защита *

Исследование Linux/Ebury, основного компонента операции Windigo, заставило нас присмотреться к остальным составляющим данной экосистемы, чтобы узнать, используются ли они в операции. Внимание привлек открытый прокси-сервер Win32/Glupteba, который ранее распространялся с помощью набора эксплойтов в рамках операции Windigo. По итогам последнего анализа мы предполагаем, что программа больше не связана с Windigo.


В посте мы представим информацию о текущих механизмах распространения Glupteba, краткий анализ сетевого трафика, проходящего через прокси, технический анализ состояния бинарного файла Glupteba, а также взаимосвязь Glupteba и Windigo.



Читать дальше →
Всего голосов 18: ↑15 и ↓3 +12
Просмотры 5.8K
Комментарии 0

Glupteba – скрытая угроза: как мы нашли вредонос, который больше двух лет прятался в инфраструктуре заказчика

Блог компании Ростелеком-Солар Информационная безопасность *
2020 год для Solar JSOC CERT оказался непростым, но и 2021-й не отстает, постоянно подкидывая нам интересные кейсы. В этом посте мы расскажем, как обнаружили вредонос (даже целую сеть вредоносов) по, казалось бы, несвойственной ему активности. Он незаметно «жил» в инфраструктуре больше двух лет, втихаря обновлялся и без препятствий собирал ценные данные в инфраструктуре жертвы.


Читать дальше →
Всего голосов 28: ↑27 и ↓1 +26
Просмотры 12K
Комментарии 7

Кто копает под мой MikroTik?

Блог компании RUVDS.com Информационная безопасность *Серверное администрирование *

В статье обобщены результаты работы honeypot на базе Cloud Hosted Router от MikroTik, поднятого на ресурсах отечественного провайдера RUVDS.com и намеренно открытого для посещения всему интернету. Устройство подвергалось многократному взлому со стороны известной с 2018 года малвари Glupteba. Полученные данные свидетельствуют о прекращении ее активного функционирования, однако отдельные зомби хосты продолжают существовать на бесконечных просторах цифровой сети и вмешиваться в работу слабо защищенных устройств на базе операционной системы RouterOS.
Читать дальше →
Всего голосов 60: ↑60 и ↓0 +60
Просмотры 27K
Комментарии 42

Как мы искали связь между Mēris и Glupteba, а получили контроль над 45 тысячами устройств MikroTik

Блог компании Ростелеком-Солар Информационная безопасность *
✏️ Технотекст 2021
Неделю назад стало известно о рекордной DDoS-атаке на компанию Яндекс с впечатляющим значением в 21,8 млн RPS. Сотрудники Яндекса совместно с компанией Qrator Labs рассказали,
что инструментом проведения атаки был ботнет Mēris, состоящий из сетевых устройств компании Mikrotik. При этом они отметили, что изучить образец бота у них не было возможности, но утверждение, что Mēris – это «вернувшийcя Mirai», не совсем точно из-за различия в сетевых уровнях атаки (L7 и L3).



Мы уверены, что данные обстоятельства привлекли внимание многих специалистов
по информационной безопасности в попытках изучения внутреннего устройства ботнета Mēris
и природы его возникновения. Мы в Solar JSOC CERT не стали исключением и пришли к выводу, что, возможно, Mēris начал зарождаться еще в 2018 году с помощью вредоносного семейства Glupteba, которое до сих пор является «поставщиком» устройств для Mēris. Так же нам удалось получить контроль над 45 тысячами устройств MikroTik.
Читать дальше →
Всего голосов 53: ↑53 и ↓0 +53
Просмотры 19K
Комментарии 30