Linux-ботнет «Mayhem» распространяется при помощи эксплоитов Shellshock
Злоумышленники начали эксплуатировать обнаруженную недавно уязвимость в интерпретаторе Bash для заражения Linux-серверов при помощи вредоносного ПО, известного как «Mayhem».
Напоминаем, что информация о «Mayhem» появилась в июле этого года. Его обнаружили специалисты Яндекса в результате исследования подозрительной активности ряда серверов. Они выяснили, что «Mayhem» позволяет заражать серверы, эксплуатируя известные уязвимости в приложениях, используемых на необслуживаемых машинах. При помощи «Mayhem» организуют ботнеты для переброса трафика, для целей Black SEO и организации атак.
Независимые исследователи из Malware Must Die (MMD) сообщили, что авторы «Mayhem» добавили в арсенал вредоносного ПО эксплоиты уязвимости «Shellshock». «Shellshock» — это серия уязвимостей, которые обнаружены в командном интерпретаторе Bash в сентябре. Они могут быть использованы для удалённого выполнения кода на серверах, используя разные вектора атаки, включая CGI (Common Gateway Interface), OpenSSH, DHCP (Dynamic Host Configuration Protocol) и даже OpenVPN. Косвенно эта информация подтверждается тем фактом, что некоторые из наблюдаемых Shellshock-атак осуществляются с IP-адресов, входящих в в ботнет «Mayhem».
Несмотря на наличие патчей для устранения уязвимости «Shellshock», остаётся множество серверов и программных продуктов, которые подвержены этой уязвимости.
Автор: Никита Лялин по материалам pcworld.com.