Системите Linux, работещи с интернет, и устройствата от интернет на нещата (IoT) са обект на нова кампания, предназначена за незаконно добиване на криптовалута.

„Тези, които стоят зад атаката, използват задна врата, която разгръща широк набор от инструменти и компоненти, като руткитове и IRC бот, за да откраднат ресурсите на устройствата за операции по добив“, заяви Ротем Сде-Ор, изследовател на заплахите в Microsoft.

„Задната врата също така инсталира поправена версия на OpenSSH на засегнатите устройства, което позволява на злосторниците да похищават SSH пълномощни, да се движат странично в мрежата и да прикриват злонамерени SSH връзки.“

За да се осъществи схемата, неправилно конфигурираните хостове с Linux се насилват, за д получаване на  първоначален достъп, след което извършителите деактивират историята на шела и извличат троянска версия на OpenSSH от отдалечен сървър.

Измамният пакет OpenSSH е конфигуриран така, че да инсталира и стартира задната врата – шел скрипт, който позволява на нападателите да разпространяват допълнителни полезни товари и да извършват други дейности след експлоатирането.

Това включва ексфилтриране на информация за устройството, инсталиране на руткитове с отворен код, наречени Diamorphine и Reptile, от GitHub и предприемане на стъпки за прикриване на дейността му чрез изчистване на дневниците, които биха могли да сигнализират за присъствието му.

„За да осигури постоянен SSH достъп до устройството, backdoor-ът добавя два публични ключа към конфигурационните файлове authorized_keys на всички потребители в системата“, казва производителят на Windows.

Имплантът също така се стреми да монополизира ресурсите на заразената система, като елиминира конкурентните процеси за добив на криптовалути, които може вече да са стартирани на нея, преди да стартира своя миньор.

Освен това той изпълнява модифицирана версия на ZiggyStarTux – базиран на IRC клиент за разпределен отказ на услуга (DDoS), който е в състояние да изпълнява bash команди, издадени от сървъра за управление и контрол (C2). Той е базиран на друг зловреден софтуер за ботнет, наречен Kaiten (известен още като Tsunami).

 

Технологичният гигант отбеляза, че атаките използват поддомейн на неназована финансова институция от Югоизточна Азия за комуникации C2 в опит да прикрият зловредния трафик.

Струва си да се отбележи, че начинът на действие, описан подробно от Microsoft, се припокрива с неотдавнашен доклад на Центъра за спешно реагиране в областта на сигурността AhnLab (ASEC), в който подробно са описани атаки, насочени към открити Linux сървъри със зловреден софтуер за добив на крипто и вариант на ботнет Tsunami, наречен Ziggy.

Операцията е проследена до участник на име asterzeu, който е предложил комплекта инструменти за продажба на пазара на зловреден софтуер като услуга. „Сложността и обхватът на тази атака са показателни за усилията, които нападателите полагат, за да избегнат откриването“, казва Сде-Ор.

Разработката идва в момент, когато множество известни пропуски в сигурността на рутери, цифрови видеорекордери и друг мрежов софтуер се използват активно за разгръщане на зловредния софтуер Mirai botnet, според Akamai и Palo Alto Networks Unit 42.

„Ботнетът Mirai, открит още през 2016 г., е активен и днес“, заявиха изследователите от Уни 42. „Значителна част от причината за популярността му се крие в пропуските в сигурността на IoT устройствата.“

„Тези уязвимости с отдалечено изпълнение на код, насочени към IoT устройства, се отличават с комбинация от ниска сложност и голямо въздействие, което ги прави неустоима цел за хакерите.“

Източник: The Hacker News

Подобни публикации

15 юли 2025

Критични уязвимости в над 240 модела дънни плат...

Изследователи по фърмуерна сигурност алармираха, че десетки модели ...
15 юли 2025

Американски дипломати предупредени за ИИ фалшиф...

Държавният департамент на САЩ предупреди всички американски посолст...

Ще останат ли смартфоните в миналото?

С разширяването на възможностите на изкуствения интелект и стремежа...
14 юли 2025

Злонамерено разширение за Cursor AI IDE доведе ...

Фалшиво разширение за средата за разработка Cursor AI IDE, базирана...
14 юли 2025

Актуализация за Windows 10 нарушава функцията з...

След инсталиране на юлската актуализация KB5062554 за Windows 10, п...
14 юли 2025

Google Gemini податлив на скрити фишинг атаки ч...

Изследване, представено чрез програмата за уязвимости 0din на Mozil...

Защо традиционният HAZOP не е достатъчен

HAZOP (Hazard and Operability Study) е утвърден метод за идентифици...

Преосмисляне на OT киберсигурността

Въпреки че оперативните технологии (OT) стоят в основата на критичн...
13 юли 2025

Големите езикови модели съветват жените да иска...

Ново изследване разкри сериозни признаци на полова дискриминация в ...
Бъдете социални
Още по темата
01/07/2025

Канада нарежда на Hikvision...

Канада нареди на Hikvision Canada Inc....
06/06/2025

Над 1 млн. заразени устройс...

Федералното бюро за разследване (ФБР) издаде...
05/06/2025

Shelly Group стана вторият ...

„Шелли Груп“ – водещ доставчик на...
Последно добавени
15/07/2025

Критични уязвимости в над 2...

Изследователи по фърмуерна сигурност алармираха, че...
15/07/2025

Американски дипломати преду...

Държавният департамент на САЩ предупреди всички...
15/07/2025

Ще останат ли смартфоните в...

С разширяването на възможностите на изкуствения...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!