Prebiehajúce automatické útoky na malvér s kryptominovaním pomocou vylepšenej únikovej taktiky

Kryptominovacia kampaň

Prebiehajúca kampaň na ťažbu kryptomien vylepšila svoj arzenál a zároveň vyvinula taktiku obranných únikov, ktorá umožňuje aktérom hrozby skryť prieniky a preletieť pod radarom, odhalil dnes nový výskum.

Od prvého odhalenia v roku 2019 bolo doteraz zaznamenaných celkovo 84 útokov proti jeho serverom honeypot, z ktorých štyri sa odohrali v roku 2021, podľa výskumníkov z DevSecOps a cloudovej bezpečnostnej firmy Aqua Security, ktorí už v minulosti sledovali malvérovú operáciu. tri roky. To znamená, že len v treťom štvrťroku 2021 bolo vo voľnej prírode zaznamenaných 125 útokov, čo signalizuje, že útoky sa nespomalili.

Počiatočné útoky zahŕňali vykonanie škodlivého príkazu pri spustení vanilkového obrazu s názvom „alpine:latest“, ktorý viedol k stiahnutiu skriptu shellu s názvom „autom.sh“.

“Protivníci bežne používajú vanilkové obrázky spolu so škodlivými príkazmi na vykonávanie svojich útokov, pretože väčšina organizácií dôveruje oficiálnym obrázkom a umožňuje ich použitie,” uviedli vedci v správe zdieľanej s The Hacker News. “V priebehu rokov sa škodlivý príkaz, ktorý bol pridaný do oficiálneho obrazu na vykonanie útoku, takmer nezmenil. Hlavným rozdielom je server, z ktorého bol stiahnutý shell skript autom.sh.”

Shell skript iniciuje útočnú sekvenciu, čo umožňuje protivníkovi vytvoriť nový používateľský účet pod názvom „akay“ a upgradovať jeho privilégiá na používateľa root, pomocou ktorého sa na napadnutom stroji spúšťajú ľubovoľné príkazy s cieľom ťažby kryptomien.

Hoci počiatočné fázy kampane v roku 2019 neobsahovali žiadne špeciálne techniky na skrytie ťažobnej činnosti, neskoršie verzie ukazujú extrémne opatrenia, ktoré vývojári prijali, aby ju udržali neviditeľnú pre detekciu a kontrolu, pričom hlavnou z nich je schopnosť deaktivovať bezpečnostné mechanizmy a získať zmätený ťažobný shell skript, ktorý bol päťkrát zakódovaný v Base64, aby obišiel bezpečnostné nástroje.

Kryptominovacia kampaň

Kampane so škodlivým softvérom vedené s cieľom uniesť počítače na ťažbu kryptomien dominovali viacerí aktéri hrozieb, ako napríklad Kinsing, o ktorom sa zistilo, že prehľadáva internet, či neobsahuje nesprávne nakonfigurované servery Docker, aby sa dostal do nechránených hostiteľov a nainštaloval predtým nezdokumentovaný kmeň mincovníkov.

Kryptominovacia kampaň

Okrem toho bola hackerská skupina s názvom TeamTNT pozorovaná, ako napáda nezabezpečené databázové servery Redis, inštancie Alibaba Elastic Computing Service (ECS), odhalené rozhrania API Docker a zraniteľné klastre Kubernetes, aby na cieľových hostiteľoch spustila škodlivý kód s oprávneniami root ako ako aj nasadiť užitočné zaťaženie ťažby kryptomien a zlodejov poverení. Navyše kompromitovaný Docker Hub účty boli tiež použité na hosťovanie škodlivých obrázkov, ktoré sa potom použili na distribúciu ťažiarov kryptomien.

„Baníci predstavujú pre kyberzločincov nízkorizikový spôsob, ako premeniť zraniteľnosť na digitálnu hotovosť, pričom najväčšie riziko pre ich peňažný tok predstavujú konkurenční baníci, ktorí objavia rovnaké zraniteľné servery,“ poznamenal Sean Gallagher, senior výskumník hrozieb spoločnosti Sophos v analýze ťažby Tor2Mine. kampaň, ktorá zahŕňa použitie skriptu PowerShell na zakázanie ochrany pred škodlivým softvérom, spustenie užitočného zaťaženia baníkov a zber Windows poverenia.

V posledných týždňoch boli bezpečnostné chyby v protokolovacej knižnici Log4j, ako aj zraniteľnosti novo odhalené v Atlassian Confluence, F5 BIG-IP, VMware vCenter a Oracle WebLogic Servers zneužité na prevzatie strojov na ťažbu kryptomien, čo je schéma známa ako cryptojacking. Začiatkom tohto mesiaca výrobca sieťových úložných zariadení (NAS) QNAP varoval pred malvérom na ťažbu kryptomien zameraným na jeho zariadenia, ktorý by mohol zaberať približne 50 % celkového využitia CPU.

„Kampaň Autom ilustruje, že útočníci sú čoraz sofistikovanejší, neustále zlepšujú svoje techniky a schopnosť vyhnúť sa odhaleniu bezpečnostnými riešeniami,“ uviedli vedci. Na ochranu pred týmito hrozbami sa odporúča monitorovať podozrivú aktivitu kontajnerov, vykonávať dynamickú analýzu obrazu a rutinne skenovať prostredia, či neobsahujú problémy s nesprávnou konfiguráciou.