GitHub
Шкоднаснае ПА здольна выяўляць файлы з праектамі NetBeans і дадаваць свой код у файлы праекту і збіраныя JAR-файлы. Алгарытм працы зводзіцца да знаходжанні каталога NetBeans з праектамі карыстача, перабору ўсіх праектаў у дадзеным каталогу, капіяванню шкоднаснага сцэнара ў
Пры загрузцы і запуску здзіўленага JAR-файла іншым карыстальнікам, на яго сістэме пачынаўся чарговы цыкл пошуку NetBeans і ўкаранення шкоднаснага кода, што адпавядае мадэлі працы самараспаўсюджвальных кампутарных вірусаў. Акрамя функцыянальнасці для самараспаўсюджвання, шкоднасны код таксама ўключае функцыі бэкдора для прадастаўлення выдаленага доступу да сістэмы. На момант разбору інцыдэнту кіраўнікі бэкдорам серверы (C&C) не былі актыўныя.
Усяго пры вывучэнні здзіўленых праектаў было выяўлена 4 варыянты інфікавання. У адным з варыянтаў для актывацыі бэкдора ў Linux ствараўся файл аўтазапуску "$HOME/.config/autostart/octo.desktop", а ў Windows для запуску ўжываўся запуск заданняў праз schtasks. Сярод іншых файлаў:
- $HOME/.local/share/bbauto
- $HOME/.config/autostart/none.desktop
- $HOME/.config/autostart/.desktop
- $HOME/.local/share/Main.class
- $HOME/Library/LaunchAgents/AutoUpdater.dat
- $HOME/Library/LaunchAgents/AutoUpdater.plist
- $HOME/Library/LaunchAgents/SoftwareSync.plist
- $HOME/Library/LaunchAgents/Main.class
Бэкдор мог выкарыстоўвацца для дадання закладак у які развіваецца распрацоўнікам код, арганізацыі ўцечкі кода прапрыетарных сістэм, крадзяжы канфідэнцыйных дадзеных і захопу ўліковых запісаў. Даследнікі з GitHub не выключаюць, што шкоднасная дзейнасць не абмяжоўваецца NetBeans і могуць існаваць іншыя варыянты Octopus Scanner, якія ўкараняюцца для свайго распаўсюджвання ў працэс зборкі на базе Make, MsBuild, Gradle і іншых сістэм.
Назвы здзіўленых праектаў не згадваецца, але іх лёгка можна
Крыніца: opennet.ru