Търсене
Close this search box.

Нова кампания за добив на криптовалута

Системите Linux, работещи с интернет, и устройствата от интернет на нещата (IoT) са обект на нова кампания, предназначена за незаконно добиване на криптовалута.

„Тези, които стоят зад атаката, използват задна врата, която разгръща широк набор от инструменти и компоненти, като руткитове и IRC бот, за да откраднат ресурсите на устройствата за операции по добив“, заяви Ротем Сде-Ор, изследовател на заплахите в Microsoft.

„Задната врата също така инсталира поправена версия на OpenSSH на засегнатите устройства, което позволява на злосторниците да похищават SSH пълномощни, да се движат странично в мрежата и да прикриват злонамерени SSH връзки.“

За да се осъществи схемата, неправилно конфигурираните хостове с Linux се насилват, за д получаване на  първоначален достъп, след което извършителите деактивират историята на шела и извличат троянска версия на OpenSSH от отдалечен сървър.

Измамният пакет OpenSSH е конфигуриран така, че да инсталира и стартира задната врата – шел скрипт, който позволява на нападателите да разпространяват допълнителни полезни товари и да извършват други дейности след експлоатирането.

Това включва ексфилтриране на информация за устройството, инсталиране на руткитове с отворен код, наречени Diamorphine и Reptile, от GitHub и предприемане на стъпки за прикриване на дейността му чрез изчистване на дневниците, които биха могли да сигнализират за присъствието му.

„За да осигури постоянен SSH достъп до устройството, backdoor-ът добавя два публични ключа към конфигурационните файлове authorized_keys на всички потребители в системата“, казва производителят на Windows.

Имплантът също така се стреми да монополизира ресурсите на заразената система, като елиминира конкурентните процеси за добив на криптовалути, които може вече да са стартирани на нея, преди да стартира своя миньор.

Освен това той изпълнява модифицирана версия на ZiggyStarTux – базиран на IRC клиент за разпределен отказ на услуга (DDoS), който е в състояние да изпълнява bash команди, издадени от сървъра за управление и контрол (C2). Той е базиран на друг зловреден софтуер за ботнет, наречен Kaiten (известен още като Tsunami).

 

Технологичният гигант отбеляза, че атаките използват поддомейн на неназована финансова институция от Югоизточна Азия за комуникации C2 в опит да прикрият зловредния трафик.

Струва си да се отбележи, че начинът на действие, описан подробно от Microsoft, се припокрива с неотдавнашен доклад на Центъра за спешно реагиране в областта на сигурността AhnLab (ASEC), в който подробно са описани атаки, насочени към открити Linux сървъри със зловреден софтуер за добив на крипто и вариант на ботнет Tsunami, наречен Ziggy.

Операцията е проследена до участник на име asterzeu, който е предложил комплекта инструменти за продажба на пазара на зловреден софтуер като услуга. „Сложността и обхватът на тази атака са показателни за усилията, които нападателите полагат, за да избегнат откриването“, казва Сде-Ор.

Разработката идва в момент, когато множество известни пропуски в сигурността на рутери, цифрови видеорекордери и друг мрежов софтуер се използват активно за разгръщане на зловредния софтуер Mirai botnet, според Akamai и Palo Alto Networks Unit 42.

„Ботнетът Mirai, открит още през 2016 г., е активен и днес“, заявиха изследователите от Уни 42. „Значителна част от причината за популярността му се крие в пропуските в сигурността на IoT устройствата.“

„Тези уязвимости с отдалечено изпълнение на код, насочени към IoT устройства, се отличават с комбинация от ниска сложност и голямо въздействие, което ги прави неустоима цел за хакерите.“

Източник: The Hacker News

Подобни публикации

27 февруари 2024

Севернокорейските хакери атакуват разработчици ...

Нови данни на Phylum показват, че набор от фалшиви пакети npm, откр...
27 февруари 2024

Защо автоматизацията е от съществено значение з...

Областта на киберсигурността се разширява, което води след себе си ...
27 февруари 2024

Киберсигурност - четки за зъби, дронове и джуджета

Звучи като виц, но всички тези истории са станали популярни през по...
27 февруари 2024

САЩ и НАТО: Руските хакери преминават към облач...

Членовете на разузнавателния алианс „Пет очи“ (FVEY) пр...
27 февруари 2024

ThyssenKrupp потвърждава кибератака

Стоманодобивният гигант ThyssenKrupp потвърждава, че миналата седми...
27 февруари 2024

SubdoMailing - развива се агресивна измамна кам...

Мащабна кампания за рекламни измами, наречена „SubdoMailing&#...
27 февруари 2024

Реакция на пробива в сигурността на AnyDesk с р...

Нарушението и реакцията на AnyDesk На 2 февруари приложението за от...
26 февруари 2024

Организациите са изправени пред големи санкции ...

Това може да се превърне в кошмар за правоприлагащите органи –...
Бъдете социални
Още по темата
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
20/02/2024

Грешка в камерите на Wyze ...

В петък Wyze сподели повече подробности...
01/02/2024

Ръководство за антидронови ...

Дронът може да действа като измамна...
Последно добавени
27/02/2024

Севернокорейските хакери ат...

Нови данни на Phylum показват, че...
27/02/2024

Защо автоматизацията е от с...

Областта на киберсигурността се разширява, което...
27/02/2024

Киберсигурност - четки за з...

Звучи като виц, но всички тези...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!