Эксперты из Stormshield Security подготовили отчет об активности вредоносной программы Rex, за которой они наблюдают в течение последних 7 месяцев.
Программа Rex была обнаружена в мае этого года. В августе эксперты «Доктор Веб» сообщили, что Rex написана на языке Go и направлена против сайтов, работающих с различными популярными CMS. Оказалось, что вредоносная программа, являющаяся децентрализованным P2P-ботнетом, может применяться для DDoS-атак и майнинга криптовалюты.
Специалисты Stormshield Security утверждают, что разработчики вредоносной программы, вероятно, не намерены пользоваться ботнетом для проведения DDoS-атак. Вместо этого они задействуют Rex для внедрения на Linux-машины, на которых функционируют серверы Drupal, Magento и WordPress. Кроме того, вредоносная программа взламывает приложения Apache Jetspeed и Exagrid, а также маршрутизаторы AirOS.
После заражения хакеры, используя электронную почту, выходят на связь с администрацией веб-ресурса и начинают угрожать, что проведут DDoS-атаку на сайт, если им не будет выплачен выкуп. Злоумышленники при этом представляются членами кибергруппировок Armada Collective или Anonymous. В действительности, никакого ботнета у хакеров нет, они просто взламывают единичные объекты и вымогают деньги у жертв.
В то же время нельзя утверждать, что создатели Rex не проявляют никакого интереса к созданию ботнета для DDoS-атак. Не так давно у вредоносной программы появился новый функционал. После публикации исходных кодов троянской программы Mirai создатели Rex позаимствовали у этого ПО некоторые техники. Например, теперь Rex может осуществлять сканирование сети для поиска устройств с открытыми Telnet-портами, а затем взламывать их.
Однако эксперимент с использованием кода Mirai, вероятно всего, закончился неудачно. Специалисты Stormshield Security утверждают, что в версии с Telnet-сканером очень много багов, и она смогла инфицировать только около 10 устройств, после чего создатели вредоносной программы переключились на применение SSH-сканера, который также был позаимствован у Mirai. Но и эта затея увенчалась провалом. По информации Stormshield Security, в настоящее время в состав ботнета Rex входят лишь 150 инфицированных устройств.