Киберпреступники начали использовать новые инфраструктуру C&C-сервера и вредоносы уклонения от обнаружения.
Китайская киберпреступная группа Rocke, организовавшая многочисленные кампании по криптомайнингу, применяет новые тактики. Хакеры используют новую инфраструктуру C&C-сервера и обновлённое вредоносное ПО.
Rocke впервые была обнаружена в апреле прошлого год – преступники эксплуатировали непропатченные серверы Apache Struts, Oracle WebLogic и Adobe ColdFusion и инфицировали вредоносами из контролируемых репозиториев Gitee и GitLab.
Исследователи из Anomali Labs утверждают: летом 2019 года преступники сменили C&C инфраструктуру и отказались от использования Pastebin в пользу собственного автономного решения. Установочные скрипты были размещены на доменах lsd.systemten[.]org и update.systemten[.]org. В сентябре операторы отказались от размещения скриптов на выделенных серверах и начали использовать текстовые записи системы доменных имен (DNS). Доступ к записям осуществляется через обычные DNS-запросы или протокол DNS-over-HTTP (DoH) в случае сбоя DNS-запроса.
Также Rocke добавила в своё вредоносное ПО LSD новую функцию для эксплуатации уязвимости CVE-2016-3088 в серверах Apache ActiveMQ. Вредонос помогает операторам настроить процесс майнинга Monero (XMR) на скомпрометированных системах, а также выслеживает и удаляет все процессы, активно использующие ресурсы ЦП.
.png)