Novo Mayhem usa botnet com endereços dos EUA

Os pesquisadores do Malware Must Die publicaram um relatório  alertando para o ataque  Mayhem S hellshock , os especialistas explicaram ter detectado um número significativo de sistemas Linux e UNIX infectados por vários endereços IP que pertencem ao Mayhembotnet .

O relatorio Malware Must Die  inclui a lista de endereços IP que pertencem à botnet verificação de máquinas vulneráveis, bem como o endereço IP da máquina usada para servir o instalador Mayhem, e a maioria desses endereços IP são nos Estados Unidos.

"Se Mayhem botnet usa shellshock , e isso é uma ameaça muito séria é preciso trabalhar e cooperar juntos em boa coordenação, a fim de parar a fonte da ameaça ", disse o relatório.

Mas vamos dar um passo para trás ...  em julho uma equipe de segurança da empresa de Internet russa Yandex identificou uma botnet com base em uma de malware apelidado Mayhem que foi alvo servidores web Linux e FreeBSD.

Mayhem não é desconhecido para a comunidade de segurança, foi descoberto pela primeira vez em abril de 2014, e de acordo com os especialistas da Yandex, e está ligada ao " Fort Disco campanha brute-force "descoberto pela Arbor Networks em 2013 que comprometeu mais de 6000 sites com base em CMSs populares.

Mayhem bots tentam comprometer os servidores de destino, utilizando uma série de plug-ins projetados especificamente, uma vez infectado a vítima que implanta um backdoor , apesar de um script PHP que deixa cair uma carga maliciosa e espera por instruções de um servidor de comando.

O servidor C & C baixa oito plug-ins que permitem Mayhem bots  para realizar suas atividades como sifão de dados,  de força bruta quebra de senha e procurar outros servidores vulneráveis ​​a inclusão de arquivos remotos.

Infelizmente, os criminosos começaram a digitalizar a pesquisa na Internet para máquinas vulneráveis ​​para o Bash Bug falha e exploraram a vulnerabilidade para servir o malware Mayhem.

Uma vez que a uma verificação detectar um vulnerável paydirt , um novo instalador remoto escrito em Perl, o malware foi baixado em máquinas vulneráveis.

"A onda de ataque de" ELF . biblioteca de malwares ", um instalador de um conhecido botnet chamado como "Mayhem" é só apertar todos nós. O ataque veio de vários IP de sua botnet em muitos serviços NIX, utilizando a shellshock método de análise de vulnerabilidades web para baixar o instalador remoto escrito em Perl (substituindo a infecção base de PHP anterior). É, obviamente, um novo vetor diferente de infecção Mayhem, começamos chamando-o como Mayhem Shellshock  ", informou o relatório da The Malware Must Die.

O BashBug é tem grande incidência, devido ao impressionante número de máquinas vulneráveis ​​e IoT dispositivos expostos na Internet, é necessário para proteger os dispositivos vulneráveis ​​aplicar as correções necessárias e protegendo a rede contra esse tipo de atividades de varredura, muitos outros botnet  Lile Mayhem poderia ser envolvidos em outros ataques semelhantes.

Pierluigi Paganini

( Assuntos de Segurança  - Mayhembotnet ,  BashBug )