Новостной портал «Лаборатории Касперского» отмечает, что наблюдения Zscaler схожи с теми, что содержатся в отчете института SANS. В нем сообщается о о группировке, отказавшейся от использования популярного пака Angler в пользу Neutrino. Исследователи из обеих организаций заявляют, что основным IP-адресом для лендинг-страницы Neutrino является 185[.]44[.]105[.]7, зарегистрированный на имя некоего Макса Влапета (Max Vlapet) из Москвы.
Исследователи из Zscaler заявили, что зафиксировали более 2,6 тысяч уникальных WP-сайтов, связанных с активностью Neutrino, на которых размещено более 4 000 зараженных страниц. По мнению аналитиков Zscaler Джона Манкусо и Дипена Десаи, целью этой кампании является полная компрометация сайтов, которая включает создание веб-шелла, сбор учетных данных и под конец внедрение iFrame, который загружает лендинг-страницу Neutrino. iFrame внедряется на скомпрометированный сайт сразу за тэгом BODY и крайне схож с образцами, связанными с Angler. Пользователям, которые используют браузеры, отличные от IE, iFrame не раздается, при этом куки используются таким образом, чтобы исключить случаи, когда одному и тому же пользователю iFrame раздается раз за разом.
Эксперты Zscaler поделились информацией о Flash-эксплойте, который используется в рамках этой кампании, отметив, что ИБ-компании достаточно плохо справились с его детектированием. Нагрузкой является CryptoWall 3.0 — новейшая версия блокера, который этим летом активно раздавался через эксплойт-паки и в рамках некоторых спам-кампаний. Как и другие блокеры, CryptoWall 3.0 шифрует файлы, хранящиеся на скомпрометированном компьютере, и требует уплатить выкуп за их расшифровку, обычно около $500 в Bitcoin. Зловред использует ряд каналов для поддержания связи со злоумышленниками и передачи украденных данных, включая I2P и сеть Tor.
Судя по всему, Neutrino сейчас набирает популярность на фоне других эксплойт-паков. Angler остается наиболее опасным паком, в силу того что его авторы регулярно добавляют в его арсенал эксплойты новейших уязвимостей нулевого дня. За нынешней активностью Neutrino может стоять ряд факторов. Это или проверка возможностей этого пака, или злоумышленник не смог приобрести Angler из-за запрета его разработчиков. По мнению исследователя из Rackspace Брэда Дункана, если считать данный скачок активности пака показательным, то в будущем мы можем увидеть увеличение числа скомпрометированных сайтов, раздающих Neutrino, при этом будет заметно снижение объемов трафика, связанного с Angler.
WordPress – одна из наиболее популярных в мире систем управления содержимым сайта с открытым исходным кодом популярных сайтов и блог-платформа, которая является привлекательной мишенью для злоумышленников. Хакеры стремятся использовать сотни известных уязвимостей для построения бот-сетей, распространения вредоносных программ и организации DDoS-кампании. 25 из более чем 1300 самых популярных плагинов, протестированных компанией Akamai Technologies, содержали по крайней мере одну новую уязвимость, в некоторых случаях их было больше одного. Как отметил Эрик Кобрин, директор по состязательной устойчивости Akamai Technologies, нередко можно наблюдать как 5 000 или 10 000 скомпрометированных сайтов на WordPress одновременно атакуют сайты клиентов компании. И в перспективе таких сайтов на WordPress может быть все больше.
.jpg)
.jpg)
.jpg)