- Специальный корреспондент
Скрытая атака затронула тысячи сетей, оставив операторов связи без контроля.
Интернет-провайдеры в Китае и на западном побережье США стали жертвами масштабной кампании по эксплуатации уязвимостей, в ходе которой злоумышленники устанавливали на скомпрометированные системы вредоносные программы, похищающие данные, а также майнеры криптовалют.
Исследователи из компании Splunk , что атака также привела к загрузке различных бинарных файлов, предназначенных для кражи данных и закрепления присутствия в заражённых системах. По данным экспертов, злоумышленники действовали скрытно, за исключением некоторых артефактов, оставленных в уже скомпрометированных аккаунтах.
Хакеры использовали скриптовые языки программирования, такие как Python и PowerShell, что позволяло им действовать в ограниченных средах и применять API-запросы, например, через Telegram, для управления заражёнными системами. Первоначальный доступ они получали путём брутфорс-атак на слабые учётные данные. Источники атак, согласно данным анализа, находились в Восточной Европе. Всего было атаковано более 4000 IP-адресов интернет-провайдеров.
После проникновения в сеть злоумышленники загружали исполняемые файлы через PowerShell, чтобы проводить сканирование сети, похищать информацию и запускать XMRig — инструмент для майнинга криптовалют, использующий вычислительные ресурсы жертв. Перед выполнением основной нагрузки киберпреступники отключали функции безопасности и завершали процессы, связанные с обнаружением криптомайнеров.
Помимо сбора данных и кражи скриншотов, вредоносное ПО функционировало аналогично «клипперу», отслеживая содержимое буфера обмена в поисках криптовалютных кошельков. Среди целевых валют значились Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX).
Полученные данные передавались в Telegram-бота. На заражённые машины также загружался бинарный файл, который активировал дополнительные полезные нагрузки. Среди них — «Auto.exe», скачивающий списки паролей («pass.txt») и IP-адресов («ip.txt») для новых атак брутфорсом, а также «Masscan.exe» — инструмент для массового сканирования сети.
Злоумышленники сосредоточили атаки на определённых диапазонах IP-адресов (CIDR) интернет-провайдеров, находящихся в Китае и на западном побережье США. Используемый инструмент Masscan позволял им сканировать большое количество IP-адресов, выявлять открытые порты и запускать атаки брутфорсом на учётные записи.
Интернет-провайдеры в Китае и на западном побережье США стали жертвами масштабной кампании по эксплуатации уязвимостей, в ходе которой злоумышленники устанавливали на скомпрометированные системы вредоносные программы, похищающие данные, а также майнеры криптовалют.
Исследователи из компании Splunk , что атака также привела к загрузке различных бинарных файлов, предназначенных для кражи данных и закрепления присутствия в заражённых системах. По данным экспертов, злоумышленники действовали скрытно, за исключением некоторых артефактов, оставленных в уже скомпрометированных аккаунтах.
Хакеры использовали скриптовые языки программирования, такие как Python и PowerShell, что позволяло им действовать в ограниченных средах и применять API-запросы, например, через Telegram, для управления заражёнными системами. Первоначальный доступ они получали путём брутфорс-атак на слабые учётные данные. Источники атак, согласно данным анализа, находились в Восточной Европе. Всего было атаковано более 4000 IP-адресов интернет-провайдеров.
После проникновения в сеть злоумышленники загружали исполняемые файлы через PowerShell, чтобы проводить сканирование сети, похищать информацию и запускать XMRig — инструмент для майнинга криптовалют, использующий вычислительные ресурсы жертв. Перед выполнением основной нагрузки киберпреступники отключали функции безопасности и завершали процессы, связанные с обнаружением криптомайнеров.
Помимо сбора данных и кражи скриншотов, вредоносное ПО функционировало аналогично «клипперу», отслеживая содержимое буфера обмена в поисках криптовалютных кошельков. Среди целевых валют значились Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX).
Полученные данные передавались в Telegram-бота. На заражённые машины также загружался бинарный файл, который активировал дополнительные полезные нагрузки. Среди них — «Auto.exe», скачивающий списки паролей («pass.txt») и IP-адресов («ip.txt») для новых атак брутфорсом, а также «Masscan.exe» — инструмент для массового сканирования сети.
Злоумышленники сосредоточили атаки на определённых диапазонах IP-адресов (CIDR) интернет-провайдеров, находящихся в Китае и на западном побережье США. Используемый инструмент Masscan позволял им сканировать большое количество IP-адресов, выявлять открытые порты и запускать атаки брутфорсом на учётные записи.
