Нова кампания за добив на криптовалута

Системите Linux, работещи с интернет, и устройствата от интернет на нещата (IoT) са обект на нова кампания, предназначена за незаконно добиване на криптовалута.

„Тези, които стоят зад атаката, използват задна врата, която разгръща широк набор от инструменти и компоненти, като руткитове и IRC бот, за да откраднат ресурсите на устройствата за операции по добив“, заяви Ротем Сде-Ор, изследовател на заплахите в Microsoft.

„Задната врата също така инсталира поправена версия на OpenSSH на засегнатите устройства, което позволява на злосторниците да похищават SSH пълномощни, да се движат странично в мрежата и да прикриват злонамерени SSH връзки.“

За да се осъществи схемата, неправилно конфигурираните хостове с Linux се насилват, за д получаване на  първоначален достъп, след което извършителите деактивират историята на шела и извличат троянска версия на OpenSSH от отдалечен сървър.

Измамният пакет OpenSSH е конфигуриран така, че да инсталира и стартира задната врата – шел скрипт, който позволява на нападателите да разпространяват допълнителни полезни товари и да извършват други дейности след експлоатирането.

Това включва ексфилтриране на информация за устройството, инсталиране на руткитове с отворен код, наречени Diamorphine и Reptile, от GitHub и предприемане на стъпки за прикриване на дейността му чрез изчистване на дневниците, които биха могли да сигнализират за присъствието му.

„За да осигури постоянен SSH достъп до устройството, backdoor-ът добавя два публични ключа към конфигурационните файлове authorized_keys на всички потребители в системата“, казва производителят на Windows.

Имплантът също така се стреми да монополизира ресурсите на заразената система, като елиминира конкурентните процеси за добив на криптовалути, които може вече да са стартирани на нея, преди да стартира своя миньор.

Освен това той изпълнява модифицирана версия на ZiggyStarTux – базиран на IRC клиент за разпределен отказ на услуга (DDoS), който е в състояние да изпълнява bash команди, издадени от сървъра за управление и контрол (C2). Той е базиран на друг зловреден софтуер за ботнет, наречен Kaiten (известен още като Tsunami).

 

Технологичният гигант отбеляза, че атаките използват поддомейн на неназована финансова институция от Югоизточна Азия за комуникации C2 в опит да прикрият зловредния трафик.

Струва си да се отбележи, че начинът на действие, описан подробно от Microsoft, се припокрива с неотдавнашен доклад на Центъра за спешно реагиране в областта на сигурността AhnLab (ASEC), в който подробно са описани атаки, насочени към открити Linux сървъри със зловреден софтуер за добив на крипто и вариант на ботнет Tsunami, наречен Ziggy.

Операцията е проследена до участник на име asterzeu, който е предложил комплекта инструменти за продажба на пазара на зловреден софтуер като услуга. „Сложността и обхватът на тази атака са показателни за усилията, които нападателите полагат, за да избегнат откриването“, казва Сде-Ор.

Разработката идва в момент, когато множество известни пропуски в сигурността на рутери, цифрови видеорекордери и друг мрежов софтуер се използват активно за разгръщане на зловредния софтуер Mirai botnet, според Akamai и Palo Alto Networks Unit 42.

„Ботнетът Mirai, открит още през 2016 г., е активен и днес“, заявиха изследователите от Уни 42. „Значителна част от причината за популярността му се крие в пропуските в сигурността на IoT устройствата.“

„Тези уязвимости с отдалечено изпълнение на код, насочени към IoT устройства, се отличават с комбинация от ниска сложност и голямо въздействие, което ги прави неустоима цел за хакерите.“

Източник: The Hacker News

Подобни публикации

27 септември 2023

Нов ZeroFont фишинг подвежда Outlook да показва...

Хакерите използват нов трик за използване на нулеви шрифтове в имей...
27 септември 2023

Google присвоява нов максимален рейтинг CVE на ...

Google е определила нов CVE ID (CVE-2023-5129) за уязвимостта в сиг...
27 септември 2023

Нова киберпрестъпна група е свързана със 7 фам...

Експерти по киберсигурност разкриха нова група за киберпрестъпления...
27 септември 2023

Microsoft разпространява Passkeys в Windows 11

Днес Microsoft официално въвежда поддръжка на клавишите passskeys в...
27 септември 2023

Излязоха резултатите от оценката на MITRE ATT&a...

Задълбочените, независими тестове са жизненоважен ресурс за анализи...
26 септември 2023

WatchGuard получи най-високото признание

WatchGuard е обявена за лидер в последния доклад на G2 Grid и е отл...
26 септември 2023

WatchGuard с награда за отлични постижения в об...

Имаме удоволствието да споделим, че WatchGuard е обявена за победит...
26 септември 2023

Рансъмуерът Akira мутира и се насочва към систе...

Откакто се появи като заплаха през март, рансъмуерът Arika продължи...
Бъдете социални
Още по темата
12/09/2023

MGM Resorts изключва ИТ сис...

MGM Resorts International съобщи днес, че...
22/08/2023

Умните крушки на TP-Link мо...

Изследователи от Италия и Обединеното кралство...
03/08/2023

Увеличаване на уязвимостите...

Около 34% от уязвимостите в сигурността,...
Последно добавени
27/09/2023

Нов ZeroFont фишинг подвежд...

Хакерите използват нов трик за използване...
27/09/2023

Google присвоява нов максим...

Google е определила нов CVE ID...
27/09/2023

Нова киберпрестъпна група е...

Експерти по киберсигурност разкриха нова група...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!