2021-12-02 17:03:48
Исследователи голландской компании по кибербезопасности
Sansec, которые ранее разбирали
CronRAT, который злоупотреблял системой планирования задач cron, на этот раз обнаружили новую угрозу.
Угроза получила название
NginRAT - некое коллаборация целевого приложения и возможностей удаленного доступа, используемая в атаках на стороне сервера для кражи данных платежных карт Интернет-магазинов. Следы вредоносного ПО были обнаружены на серверах
США,
Германии и
Франции, которые были также заражены
CronRAT.
Sansec смог изучить
NginRAT после создания пользовательского
CronRAT и наблюдения за обменом данными с C2, расположенным в Китае. Новое вредоносное ПО в скомпрометированную систему поставляется
CronRAT посредством специальной команды
dwn, которая загружает вредоносную системную библиотеку
Linux в папку
dev/shm/php-shared. Затем библиотека запускается с использованием функции отладки
LD_PRELOAD в
Linux.
Оба, несмотря на использование очень разных методов для поддержания своей скрытности, выполняют одну и ту же роль, выступая в качестве резервной копии для сохранения удаленного доступа.
NginRAT, по сути, захватывает хост-приложение
Nginx, чтобы оставаться незамеченным. Для этого
NginRAT изменяет основные функции хост-системы
Linux. Когда веб-сервер
Nginx использует такую функциональность (например,
dlopen),
NginRAT перехватывает его, чтобы внедриться. Затем процесс
Nginx встраивает вредоносное ПО для удаленного доступа таким образом, что его практически невозможно отличить от легитимного.
NginRAT скрывается как обычный процесс
Nginx, а код существует только в памяти сервера.
Обнаружить активные вредоносные процессы можно используя опечатку в командах с переменными
LD_PRELOAD и
LD_L1BRARY_PATH. При этом
Sansec отмечает, если на сервере обнаружен
NginRAT, администраторам также необходимо проверить систему задач
cron, и, вероятно, там также прячется вредоносное ПО, добавленное
CronRAT.
154 views14:03