В Сети обнаружен фреймворк для троянских атак на Windows, macOS и Linux

Аналитики Cisco Talos разместили итоги исследования наборов инструментов атаки, найденных на сервере Apache, который сейчас неактивен. Так называемый фреймворк содержал новый троян под названием Insekt, а также вредоносное ПО Alchimist. Все это позволяло злоумышленникам атаковать различные платформы, например, Windows, Linux, macOS.

Были обнаружены и менее мощные инструменты вроде PsExec, NetCat, использующиеся для вывода информации. Что касается компонента Alchimist, то это 64-битная программа для ОС Linux. Набор опций позволит оператору создавать необходимые нагрузки или открывать сессию удаленного доступа. Механизмы заражения довольно разные, оператор может атаковать платформу, а адрес С2, в таком случае, вошьется в код трояна.


Создатели вредоносного ПО предусмотрели и десятикратный пинг, интервал – секундный. В случае отсутствия отклика попытка подключения вновь возобновляется через 60 минут. Главным назначением 64-битного Insekt является удаленное администрирование. Аналитикам удалось выяснить, что в Linux-версии трояна есть интересная особенность в виде добавления новых SSH-ключей в файл authorised_Keys. Таким образом, оператор обеспечивает себе альтернативный канал связи с зараженным устройством.
Источник: www.anti-malware.ru