Ботнет состоит исключительно из взломанных серверов под управлением Windows Server. Киберпреступники, предположительно из Китая, контролируют ботнет из 15 тыс. скомпрометированных серверов под управлением Windows Server, использующийся для генерирования криптовалюты, в основном Monero. Помимо майнинга, взломанные системы также используются для осуществления атак на другие хосты. Первыми ботнет обнаружили исследователи компании GuardiCore. Основываясь на оставленных в исходном коде вредоносного ПО подсказках, эксперты определили, что ботнетом управляет группировка под название Bond007.01. Ботнет, получивший название Bondnet, появился в декабре 2016 года и стремительно набрал мощность. Как уже упоминалось, в настоящее время он включает в себя 15 тыс. скомпрометированных систем с более 2 тыс. ежедневно активных ботов. По словам исследователей, хакеры Bond007.01 построили свою сеть с помощью самых разных техник. В частности злоумышленники применяют различные эксплоиты и осуществляют брутфорс-атаки на компьютеры со слабыми паролями для RDP. Касательно эксплоитов, хакеры используют уязвимости в phpMyAdmin, JBoss, Oracle Web Application Testing Suite, ElasticSearch, MSSQL, Apache Tomcat, Oracle Weblogic и пр. Проэксплуатировав уязвимость, с помощью скриптов DLL и Visual Basic хакеры загружают и устанавливают на систему жертвы троян для удаленного доступа (RAT) и майнер криптовалюты. Помимо Monero, ботнет генерирует ByteCoin, RieCoin или ZCash. Все входящие в него компьютеры работают под управлением Windows Server, и 55% из них – под управлением Windows Server 2008 R2.
Дождалися Еще буквально с полгода назад в хакере читал статейку, что мода на ботнеты-майнеры возрождается в связи с появлением зкэш, и вот пожалуйста) Особенность этого то что он серверный, но бывают и те, что маскируются на компе пользователя под task manager и другие приложения. На сайте касперского есть примеры, может кому пригодится: • diskmngr.exe • mssys.exe • C:\system\taskmngr.exe • system.exe • nsdiag.exe • taskmngr.exe • svchost.exe • C:\Users\[username]\AppData\Roaming\MetaData\mdls\windlw\mDir_r\rhost.exe • qzwzfx.exe • C:\Users\[username]\AppData\Local\Temp\afolder\mscor.exe • C:\Program Files\Common Files\nheqminer64.exe • C:\Windows\Logs\Logsfiles64\conhost.exe • apupd.exe