Mobiln├ę Spr├ívy, Gadgety, Blogy's Secenziami

Prebiehaj├║ce automatick├ę ├║toky na malv├ęr s kryptominovan├şm pomocou vylep┼íenej ├║nikovej taktiky

Kryptominovacia kampa┼ł

Prebiehaj├║ca kampa┼ł na ┼ąa┼żbu kryptomien vylep┼íila svoj arzen├íl a z├írove┼ł vyvinula taktiku obrann├Żch ├║nikov, ktor├í umo┼ż┼łuje akt├ęrom hrozby skry┼ą prieniky a preletie┼ą pod radarom, odhalil dnes nov├Ż v├Żskum.

Od prv├ęho odhalenia v roku 2019 bolo doteraz zaznamenan├Żch celkovo 84 ├║tokov proti jeho serverom honeypot, z ktor├Żch ┼ítyri sa odohrali v roku 2021, pod─ża v├Żskumn├şkov z DevSecOps a cloudovej bezpe─Źnostnej firmy Aqua Security, ktor├ş u┼ż v minulosti sledovali malv├ęrov├║ oper├íciu. tri roky. To znamen├í, ┼że len v tre┼ąom ┼ítvr┼ąroku 2021 bolo vo vo─żnej pr├şrode zaznamenan├Żch 125 ├║tokov, ─Źo signalizuje, ┼że ├║toky sa nespomalili.

Po─Źiato─Źn├ę ├║toky zah┼Ľ┼łali vykonanie ┼íkodliv├ęho pr├şkazu pri spusten├ş vanilkov├ęho obrazu s n├ízvom ÔÇ×alpine:latestÔÇť, ktor├Ż viedol k stiahnutiu skriptu shellu s n├ízvom ÔÇ×autom.shÔÇť.

“Protivn├şci be┼żne pou┼ż├şvaj├║ vanilkov├ę obr├ízky spolu so ┼íkodliv├Żmi pr├şkazmi na vykon├ívanie svojich ├║tokov, preto┼że v├Ą─Ź┼íina organiz├íci├ş d├┤veruje ofici├ílnym obr├ízkom a umo┼ż┼łuje ich pou┼żitie,” uviedli vedci v spr├íve zdie─żanej s The Hacker News. “V priebehu rokov sa ┼íkodliv├Ż pr├şkaz, ktor├Ż bol pridan├Ż do ofici├ílneho obrazu na vykonanie ├║toku, takmer nezmenil. Hlavn├Żm rozdielom je server, z ktor├ęho bol stiahnut├Ż shell skript autom.sh.”

Shell skript iniciuje ├║to─Źn├║ sekvenciu, ─Źo umo┼ż┼łuje protivn├şkovi vytvori┼ą nov├Ż pou┼ż├şvate─żsk├Ż ├║─Źet pod n├ízvom ÔÇ×akayÔÇť a upgradova┼ą jeho privil├ęgi├í na pou┼ż├şvate─ża root, pomocou ktor├ęho sa na napadnutom stroji sp├║┼í┼ąaj├║ ─żubovo─żn├ę pr├şkazy s cie─żom ┼ąa┼żby kryptomien.

Hoci po─Źiato─Źn├ę f├ízy kampane v roku 2019 neobsahovali ┼żiadne ┼ípeci├ílne techniky na skrytie ┼ąa┼żobnej ─Źinnosti, neskor┼íie verzie ukazuj├║ extr├ęmne opatrenia, ktor├ę v├Żvoj├íri prijali, aby ju udr┼żali nevidite─żn├║ pre detekciu a kontrolu, pri─Źom hlavnou z nich je schopnos┼ą deaktivova┼ą bezpe─Źnostn├ę mechanizmy a z├şska┼ą zm├Ąten├Ż ┼ąa┼żobn├Ż shell skript, ktor├Ż bol p├Ą┼ąkr├ít zak├│dovan├Ż v Base64, aby obi┼íiel bezpe─Źnostn├ę n├ístroje.

Kryptominovacia kampa┼ł

Kampane so ┼íkodliv├Żm softv├ęrom veden├ę s cie─żom unies┼ą po─Ź├şta─Źe na ┼ąa┼żbu kryptomien dominovali viacer├ş akt├ęri hrozieb, ako napr├şklad Kinsing, o ktorom sa zistilo, ┼że preh─żad├íva internet, ─Źi neobsahuje nespr├ívne nakonfigurovan├ę servery Docker, aby sa dostal do nechr├ínen├Żch hostite─żov a nain┼ítaloval predt├Żm nezdokumentovan├Ż kme┼ł mincovn├şkov.

Kryptominovacia kampa┼ł

Okrem toho bola hackersk├í skupina s n├ízvom TeamTNT pozorovan├í, ako nap├ída nezabezpe─Źen├ę datab├ízov├ę servery Redis, in┼ítancie Alibaba Elastic Computing Service (ECS), odhalen├ę rozhrania API Docker a zranite─żn├ę klastre Kubernetes, aby na cie─żov├Żch hostite─żoch spustila ┼íkodliv├Ż k├│d s opr├ívneniami root ako ako aj nasadi┼ą u┼żito─Źn├ę za┼ąa┼żenie ┼ąa┼żby kryptomien a zlodejov poveren├ş. Navy┼íe kompromitovan├Ż Docker Hub ├║─Źty boli tie┼ż pou┼żit├ę na hos┼ąovanie ┼íkodliv├Żch obr├ízkov, ktor├ę sa potom pou┼żili na distrib├║ciu ┼ąa┼żiarov kryptomien.

ÔÇ×Ban├şci predstavuj├║ pre kyberzlo─Źincov n├şzkorizikov├Ż sp├┤sob, ako premeni┼ą zranite─żnos┼ą na digit├ílnu hotovos┼ą, pri─Źom najv├Ą─Ź┼íie riziko pre ich pe┼ła┼żn├Ż tok predstavuj├║ konkuren─Źn├ş ban├şci, ktor├ş objavia rovnak├ę zranite─żn├ę servery,ÔÇť poznamenal Sean Gallagher, senior v├Żskumn├şk hrozieb spolo─Źnosti Sophos v anal├Żze ┼ąa┼żby Tor2Mine. kampa┼ł, ktor├í zah┼Ľ┼ła pou┼żitie skriptu PowerShell na zak├ízanie ochrany pred ┼íkodliv├Żm softv├ęrom, spustenie u┼żito─Źn├ęho za┼ąa┼żenia ban├şkov a zber Windows poverenia.

V posledn├Żch t├Ż┼żd┼łoch boli bezpe─Źnostn├ę chyby v protokolovacej kni┼żnici Log4j, ako aj zranite─żnosti novo odhalen├ę v Atlassian Confluence, F5 BIG-IP, VMware vCenter a Oracle WebLogic Servers zneu┼żit├ę na prevzatie strojov na ┼ąa┼żbu kryptomien, ─Źo je sch├ęma zn├íma ako cryptojacking. Za─Źiatkom tohto mesiaca v├Żrobca sie┼ąov├Żch ├║lo┼żn├Żch zariaden├ş (NAS) QNAP varoval pred malv├ęrom na ┼ąa┼żbu kryptomien zameran├Żm na jeho zariadenia, ktor├Ż by mohol zabera┼ą pribli┼żne 50 % celkov├ęho vyu┼żitia CPU.

ÔÇ×Kampa┼ł Autom ilustruje, ┼że ├║to─Źn├şci s├║ ─Źoraz sofistikovanej┼í├ş, neust├íle zlep┼íuj├║ svoje techniky a schopnos┼ą vyhn├║┼ą sa odhaleniu bezpe─Źnostn├Żmi rie┼íeniami,ÔÇť uviedli vedci. Na ochranu pred t├Żmito hrozbami sa odpor├║─Źa monitorova┼ą podozriv├║ aktivitu kontajnerov, vykon├íva┼ą dynamick├║ anal├Żzu obrazu a rutinne skenova┼ą prostredia, ─Źi neobsahuj├║ probl├ęmy s nespr├ívnou konfigur├íciou.