Исследователи Positive Technologies рассказали о новой тактике операторов ботнета Neutrino – они уже больше года атакуют web-оболочки других киберпреступников и заражают их серверы.
Ранее зловред распространялся через вложения в имейлах и наборы эксплойтов. Теперь он взял на себя роль ботнета, сканируя сеть в поисках разных web-приложений и серверов для брутфорса административных панелей. После он перебирает оболочки и начинает эксплуатировать уязвимости. По мнению исследователей Positive Technologies, целью данных атак является добыча криптовалюты на зараженных серверах.
В ходе взлома Neutrino использует разные методы. Он не только эксплуатирует старые и новые уязвимости, но также ищет оставленные без пароля серверы phpMyAdmin и брутфорсит учётные записи cуперпользователей phpMyAdmin, Tomcat и MS-SQL.
Специалисты также отметили, что в июне прошлого года Neutrino искал открытые узлы Ethereum и позволил злоумышленникам украсть до 20 млн долларов.
Также вредонос занимается взломом web-оболочек. Список жертв включает в себя 159 адресов с уникальными параметрами (PHP и JSP-оболочки). Neutrino исполняет простые команды и тем самым брутфорсит оболочки «конкурентов».
