Търсене
Close this search box.

Нова кампания за добив на криптовалута

Системите Linux, работещи с интернет, и устройствата от интернет на нещата (IoT) са обект на нова кампания, предназначена за незаконно добиване на криптовалута.

„Тези, които стоят зад атаката, използват задна врата, която разгръща широк набор от инструменти и компоненти, като руткитове и IRC бот, за да откраднат ресурсите на устройствата за операции по добив“, заяви Ротем Сде-Ор, изследовател на заплахите в Microsoft.

„Задната врата също така инсталира поправена версия на OpenSSH на засегнатите устройства, което позволява на злосторниците да похищават SSH пълномощни, да се движат странично в мрежата и да прикриват злонамерени SSH връзки.“

За да се осъществи схемата, неправилно конфигурираните хостове с Linux се насилват, за д получаване на  първоначален достъп, след което извършителите деактивират историята на шела и извличат троянска версия на OpenSSH от отдалечен сървър.

Измамният пакет OpenSSH е конфигуриран така, че да инсталира и стартира задната врата – шел скрипт, който позволява на нападателите да разпространяват допълнителни полезни товари и да извършват други дейности след експлоатирането.

Това включва ексфилтриране на информация за устройството, инсталиране на руткитове с отворен код, наречени Diamorphine и Reptile, от GitHub и предприемане на стъпки за прикриване на дейността му чрез изчистване на дневниците, които биха могли да сигнализират за присъствието му.

„За да осигури постоянен SSH достъп до устройството, backdoor-ът добавя два публични ключа към конфигурационните файлове authorized_keys на всички потребители в системата“, казва производителят на Windows.

Имплантът също така се стреми да монополизира ресурсите на заразената система, като елиминира конкурентните процеси за добив на криптовалути, които може вече да са стартирани на нея, преди да стартира своя миньор.

Освен това той изпълнява модифицирана версия на ZiggyStarTux – базиран на IRC клиент за разпределен отказ на услуга (DDoS), който е в състояние да изпълнява bash команди, издадени от сървъра за управление и контрол (C2). Той е базиран на друг зловреден софтуер за ботнет, наречен Kaiten (известен още като Tsunami).

 

Технологичният гигант отбеляза, че атаките използват поддомейн на неназована финансова институция от Югоизточна Азия за комуникации C2 в опит да прикрият зловредния трафик.

Струва си да се отбележи, че начинът на действие, описан подробно от Microsoft, се припокрива с неотдавнашен доклад на Центъра за спешно реагиране в областта на сигурността AhnLab (ASEC), в който подробно са описани атаки, насочени към открити Linux сървъри със зловреден софтуер за добив на крипто и вариант на ботнет Tsunami, наречен Ziggy.

Операцията е проследена до участник на име asterzeu, който е предложил комплекта инструменти за продажба на пазара на зловреден софтуер като услуга. „Сложността и обхватът на тази атака са показателни за усилията, които нападателите полагат, за да избегнат откриването“, казва Сде-Ор.

Разработката идва в момент, когато множество известни пропуски в сигурността на рутери, цифрови видеорекордери и друг мрежов софтуер се използват активно за разгръщане на зловредния софтуер Mirai botnet, според Akamai и Palo Alto Networks Unit 42.

„Ботнетът Mirai, открит още през 2016 г., е активен и днес“, заявиха изследователите от Уни 42. „Значителна част от причината за популярността му се крие в пропуските в сигурността на IoT устройствата.“

„Тези уязвимости с отдалечено изпълнение на код, насочени към IoT устройства, се отличават с комбинация от ниска сложност и голямо въздействие, което ги прави неустоима цел за хакерите.“

Източник: The Hacker News

Подобни публикации

22 юни 2024

Пробивът в JAXA не е довел до изтичане на важна...

Японската космическа агенция твърди, че няма изтичане на класифицир...

Cyber Europe тества енергийния сектор

Седмото издание на Cyber Europe, едно от най-големите учения за киб...
22 юни 2024

ЕВРО 2024: Хакери удариха излъчването на Полша ...

Хакери нарушиха онлайн излъчването на мача на Полша с Австрия от Ев...
22 юни 2024

Panera Bread призна за изтичане на данни

Американската верига за бързо хранене Panera Bread е започнала да у...
21 юни 2024

Change Healthcare най-после с подробности за ат...

UnitedHealth за първи път потвърди какви видове медицински данни и ...
21 юни 2024

САЩ наложиха санкции на 12 ръководители на Kasp...

Службата за контрол на чуждестранните активи (OFAC) към Министерств...
Бъдете социални
Още по темата
21/05/2024

Уязвимост на Fluent Bit за...

Критична уязвимост на Fluent Bit, която...
10/04/2024

Hов стандарт за интелигентн...

През втората половина на тази година...
08/04/2024

Google въвежда обновена мре...

Почти една година след като беше...
Последно добавени
22/06/2024

Пробивът в JAXA не е довел ...

Японската космическа агенция твърди, че няма...
22/06/2024

Cyber Europe тества енергий...

Седмото издание на Cyber Europe, едно...
22/06/2024

ЕВРО 2024: Хакери удариха и...

Хакери нарушиха онлайн излъчването на мача...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!