Интернет-провайдеры в Китае и на западном побережье США стали объектами крупномасштабной атаки, в ходе которой злоумышленники использовали уязвимости в их системах для установки вредоносных программ, предназначенных для кражи данных и майнинга криптовалют.
Исследователи из компании Splunk сообщили, что атака также включала загрузку различных бинарных файлов, использующихся для кражи информации и обеспечения долгосрочного присутствия хакеров в заражённых системах. Эксперты отметили, что действия злоумышленников оставались скрытыми, за исключением следов, оставленных в скомпрометированных аккаунтах.
Хакеры использовали скриптовые языки, такие как Python и PowerShell, что позволяло им работать в ограниченных средах и использовать API-запросы, например, через Telegram, для управления заражёнными системами. Первоначальный доступ они получали через брутфорс-атаки на слабые пароли. По данным анализа, источники атак находились в Восточной Европе, и было затронуто более 4000 IP-адресов интернет-провайдеров.
После проникновения в сеть злоумышленники запускали исполняемые файлы через PowerShell, чтобы сканировать сеть, красть информацию и запускать XMRig — инструмент для майнинга криптовалют, использующий ресурсы жертв. Перед активацией основной нагрузки киберпреступники отключали защитные функции и завершали процессы, связанные с обнаружением криптомайнеров.
В дополнение к сбору данных и снятию скриншотов, вредоносное ПО функционировало как «клиппер», отслеживая буфер обмена в поисках адресов криптовалютных кошельков. Целью были такие валюты, как Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX).
Полученные данные отправлялись в Telegram-бота. На заражённые машины также загружался бинарный файл, активирующий дополнительные вредоносные программы. Среди них — «Auto.exe», который скачивал списки паролей («pass.txt») и IP-адресов («ip.txt») для новых атак, а также «Masscan.exe» — инструмент для массового сканирования сети.
Злоумышленники нацелились на определённые диапазоны IP-адресов интернет-провайдеров в Китае и на западном побережье США. Используя Masscan, они сканировали большое количество IP-адресов, выявляли открытые порты и запускали брутфорс-атаки на учётные записи.
Исследователи из компании Splunk сообщили, что атака также включала загрузку различных бинарных файлов, использующихся для кражи информации и обеспечения долгосрочного присутствия хакеров в заражённых системах. Эксперты отметили, что действия злоумышленников оставались скрытыми, за исключением следов, оставленных в скомпрометированных аккаунтах.
Хакеры использовали скриптовые языки, такие как Python и PowerShell, что позволяло им работать в ограниченных средах и использовать API-запросы, например, через Telegram, для управления заражёнными системами. Первоначальный доступ они получали через брутфорс-атаки на слабые пароли. По данным анализа, источники атак находились в Восточной Европе, и было затронуто более 4000 IP-адресов интернет-провайдеров.
После проникновения в сеть злоумышленники запускали исполняемые файлы через PowerShell, чтобы сканировать сеть, красть информацию и запускать XMRig — инструмент для майнинга криптовалют, использующий ресурсы жертв. Перед активацией основной нагрузки киберпреступники отключали защитные функции и завершали процессы, связанные с обнаружением криптомайнеров.
В дополнение к сбору данных и снятию скриншотов, вредоносное ПО функционировало как «клиппер», отслеживая буфер обмена в поисках адресов криптовалютных кошельков. Целью были такие валюты, как Bitcoin (BTC), Ethereum (ETH), Binance Chain BEP2 (ETHBEP2), Litecoin (LTC) и TRON (TRX).
Полученные данные отправлялись в Telegram-бота. На заражённые машины также загружался бинарный файл, активирующий дополнительные вредоносные программы. Среди них — «Auto.exe», который скачивал списки паролей («pass.txt») и IP-адресов («ip.txt») для новых атак, а также «Masscan.exe» — инструмент для массового сканирования сети.
Злоумышленники нацелились на определённые диапазоны IP-адресов интернет-провайдеров в Китае и на западном побережье США. Используя Masscan, они сканировали большое количество IP-адресов, выявляли открытые порты и запускали брутфорс-атаки на учётные записи.
