ΑρχικήSecurityΗ νέα έκδοση του malware Stantinko εμφανίζεται ως web server Apache

Η νέα έκδοση του malware Stantinko εμφανίζεται ως web server Apache

Το Stantinko, ένα από τα παλαιότερα botnets κακόβουλου λογισμικού, ενημέρωσε το Linux malware του, αναβαθμίζοντας το trojan του ώστε να εμφανίζεται ως ο νόμιμος web server Apache (httpd) προκειμένου να κάνει την ανίχνευση πιο δύσκολη σε μολυσμένους hosts.

Οι αναβαθμίσεις, που εντοπίστηκαν από την εταιρεία ασφαλείας Intezer Labs, επιβεβαιώνουν ότι παρά την περίοδο αδράνειας – σε ότι αφορά τις αλλαγές κώδικα – το botnet Stantinko συνεχίζει να λειτουργεί ακόμη και σήμερα.

Το botnet Stantinko εντοπίστηκε για πρώτη φορά το 2012. Η ομάδα πίσω από αυτό το malware άρχισε να λειτουργεί διανέμοντας το Trojan Stantinko ως μέρος πακέτων εφαρμογών ή μέσω πειρατικών εφαρμογών. Καθώς το botnet μεγάλωσε και άρχισε να γίνεται πιο κερδοφόρο, ο κώδικας του εξελίχθηκε. Μια σημαντική ενημέρωση ανακαλύφθηκε το 2017 όταν η εταιρεία ασφαλείας ESET διαπίστωσε ότι το Stantinko χρησιμοποίησε κάποιες ειδικές εκδόσεις του malware της για συστήματα Linux.

Stantinko Apache malware

Η τελευταία έκδοση του Linux malware του Stantinko εντοπίστηκε το 2017, με αριθμό έκδοσης 1.2. Αλλά σε μια έκθεση που κυκλοφόρησε σήμερα και κοινοποιήθηκε στο ZDNet, η Intezer Labs είπε ότι ανακάλυψαν πρόσφατα μια νέα έκδοση του Linux malware του Stantinko, με αριθμό έκδοσης 2.17 – ένα τεράστιο άλμα από την προηγούμενη γνωστή έκδοση.

#secnews #europol 

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost 
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #europol

Η Europol και οι αρχές επιβολής του νόμου από εννέα χώρες εξάρθρωσαν τη "Ghost", μια πλατφόρμα κρυπτογραφημένων επικοινωνιών, η οποία χρησιμοποιούνταν από εγκληματίες για διακίνηση ναρκωτικών, ξέπλυμα βρώμικου χρήματος και άλλες παράνομες δραστηριότητες.

Η πλατφόρμα Ghost διέθετε προηγμένες λειτουργίες ασφάλειας και ανωνυμοποίησης, επιτρέποντας την αγορά συνδρομών με κρυπτονομίσματα. Προσέφερε τρία επίπεδα κρυπτογράφησης και ένα σύστημα αυτοκαταστροφής μηνυμάτων, το οποίο εξαφάνιζε μηνύματα και ύποπτα στοιχεία από τις συσκευές των αποστολέων και των παραληπτών.

Μάθετε περισσότερα: https://www.secnews.gr/620188/europol-eksarthrothike-platforma-epikoinonion-ghost/

00:00 Εισαγωγή
00:16 Πληροφορίες για την πλατφόρμα Ghost
00:57 Έρευνα, εξάρθρωση, συλλήψεις
01:43 Κρυπτογραφημένες επικοινωνίες και προκλήσεις
02:05 Σημασία εξάρθρωσης

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

1

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3LkVYMmtleXdBU0dB

Europol: Εξάρθρωσε την πλατφόρμα Ghost - Σύλληψη εγκληματιών

SecNewsTV 22 hours ago

Ωστόσο, παρά το τεράστιο χάσμα μεταξύ των δύο εκδόσεων, η ομάδα της Intezer σημειώνει ότι η νέα έκδοση είναι στην πραγματικότητα πιο λιτή και περιέχει λιγότερα χαρακτηριστικά από την παλαιότερη έκδοση, το οποίο είναι περίεργο.

Ένας λόγος πίσω από αυτήν την περίεργη κίνηση είναι ότι η συμμορία του Stantinko θα μπορούσε να έχει αφαιρέσει όλα τα κομμάτια από τον κώδικα της και να άφησε μόνο τα χαρακτηριστικά που είναι απαραίτητα και χρησιμοποιούν καθημερινά. Αυτό περιλαμβάνει τη δυνατότητα του proxy, που εξακολουθεί να υπάρχει στη νεότερη έκδοση, και είναι κρίσιμη για τις λειτουργίες των επιθέσεων brute-force.

Ένας άλλος λόγος μπορεί επίσης να είναι ότι η συμμορία του Stantinko προσπαθούσε να μειώσει το δακτυλικό αποτύπωμα του malware στα antivirus. Λιγότερες γραμμές κώδικα σημαίνει λιγότερο κακόβουλη συμπεριφορά που πρέπει να εντοπιστεί.

Και η Intezer σημειώνει ότι το VirusTotal έδωσε ένα πολύ χαμηλό ποσοστό ανίχνευσης στην νεότερη έκδοση του Stantinko, λέγοντας ότι ήταν σχεδόν μη ανιχνεύσιμο.

Παριστάνει τον web server Apache

Επιπλέον, οι χάκερ του Stantinko φαίνεται να τροποποίησαν το όνομα της διαδικασίας που χρησιμοποιεί το malware Linux, επιλέγοντας το httpd δηλαδή το όνομα που χρησιμοποιείται συνήθως από τον πιο διάσημο web server Apache.

Αυτό έγινε προφανώς για τους ιδιοκτήτες των server, θέλοντας να μην εντοπίσουν το malware σε μια τακτική οπτική επιθεώρηση, καθώς ο web server Apache συχνά περιλαμβάνεται από προεπιλογή σε πολλές διανομές Linux και αυτή η διαδικασία εκτελείται συνήθως σε συστήματα Linux που γενικά μολύνει το Stantinko.

Όπως και να έχει, οι διαχειριστές των συστημάτων Linux πρέπει να συνειδητοποιήσουν ότι καθώς το λειτουργικό σύστημα Linux διαδίδεται συνεχώς στα εταιρικά περιβάλλοντα, όλο και περισσότερες συμμορίες malware θα αρχίσουν να στοχεύουν το Linux.

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS