Nul
nieuwe malware stam ontdekt in het wild combineert elementen uit de vier soorten van malware categorieën-ransomware, coinminers, botnets en wormen– om een gevaarlijke cocktail die is ravage aan te richten onder Linux en Windows servers.
De naam XBash, deze nieuwe malware stam is het werk van een bekende criminele groep eerder geïdentificeerd in het kader van de codenamen van Ijzer [1, 2] en Rocke, en die zeer actief is geweest in de afgelopen twee jaar.
Ijzer is gebonden aan ransomware distributie campagnes, maar ook tot een enorme crypto-mijnbouw. Cisco Talos noemt deze groep ‘ de kampioen van Monero mijnwerkers,” en heeft laten doorschemeren de groep kan worden gebaseerd in China.
Tot nu toe, de Ijzer-groep heeft zich geconcentreerd op een werking op een tijdstip, met behulp van specifieke malware voor specifieke taken. Het geïmplementeerd ransomware in 2017 en begin 2018, en vervolgens de overstap naar het verspreiden van een cryptocurrency mijnwerker (coinminer) in 2018.
Ook: Kritieke infrastructuur hebben om te werken als er malware op het of niet
Maar Palo Alto Networks onderzoekers zeggen dat de groep nu uitgerold het nieuwe XBash malware-stam die een combinatie van al hun vorige tactiek, het werpen van een botnet-achtige structuur samen met coinminer en ransomware functionaliteit in één.
Bovendien, de groep lijkt ook te werken aan een worm component die zichzelf verspreidt zich in geïsoleerde corporate netwerken.
Nog niet alle modules zijn actief in dezelfde tijd al. Palo Alto Networks zegt het botnet en ransomware functies zijn alleen actief wanneer de malware infecteert Linux-systemen, terwijl de coinminer werkt alleen op Windows servers.
De manier XBash werkt, is door het gebruik van het botnet module als basis voor al zijn misdadige activiteiten. Deze module is in feite een Internet-wide-scanner om te zoeken op het Internet voor niet-gepatchte web-applicaties die gevoelig zijn voor bekende exploits of die gebruik maken van de standaard referenties.
XBash de scanner-module maakt gebruik van exploits over te nemen Hadoop, Redis of ActiveMQ servers, waar het gebruik van een kopie van het botnet en ransomware module –als ze Linux systemen.
Het kan ook infecteren Windows-systemen, maar alleen als de toegangspoort is een kwetsbaar Redis-server. De groep maakt gebruik van een speciale code routine in dit geval voor de implementatie van een coinminer in plaats van de standaard botnet en een ransomware-module.
Ook: Sly malware auteur verbergt cryptomining botnet achter de steeds veranderende proxy-service
Maar de scanner-module kan meer doen dan het leveren van exploits. Onderzoekers zeggen dat deze module kan ook port scan de Internet-servers die worden uitgevoerd diensten die zijn achtergelaten online blootgesteld zonder een wachtwoord of met behulp van zwakke referenties.
Deze tweede scanner module-een deel van XBash het botnet functionaliteit– zal er voor proberen te brute-force zijn weg naar diensten, zoals web servers (HTTP), VNC, MariaDB, MySQL, PostgreSQL, Redis, MongoDB, Oracle DB, CouchDB, ElasticSearch, Memcached, FTP, Telnet, RDP, UPnP/SSDP, NTP, DNS, SNMP, LDAP, Rexec, Rlogin, Rsh, en Rsync.
Dit biedt aanvallers met een grotere aanval gebied en helpt hun botnet groeien sneller dan soortgelijke bedreigingen.
Ook: Windows en Linux Kodi gebruikers die geïnfecteerd zijn met malware cryptomining
Maar terwijl alleen Windows-systemen kunnen direct worden te gelde gemaakt door middel munt-mijnbouw -, Linux-exemplaren zijn niet voor dood achtergelaten.
Palo Alto Networks onderzoekers zeggen dat zodra XBash een voet aan de grond op Linux-servers, de malware scant op de aanwezigheid van lokaal worden uitgevoerd, database diensten.
Hier is waar de ransomware component in het spel komt. Palo Alto Networks zegt dit XBash onderdeel scannen en te verwijderen MySQL, MongoDB, en PostgreSQL databases en laat een losgeld opmerking achter.
Het losgeld opmerking informeert slachtoffers zullen ze moeten betalen 0.02 Bitcoin ($125) om te herstellen van hun databases. Het losgeld opmerking aanspraken van het slachtoffer database back-up is gemaakt op de aanvaller de server, maar de onderzoekers zeggen dat dit niet waar is, als een analyse van XBash de broncode bleek de malware is alleen geconfigureerd om gegevens te wissen en niet een back-up.
Een analyse van een Bitcoin adres gevonden in sommige losgeld opmerkingen blijkt de groep 0.964 Bitcoin (~$6,000) om door het misleiden van slachtoffers in het betalen van een losgeld voor databases zij daadwerkelijk verwijderd.
Losgeld opmerking links binnen geplunderd DBs door XBash malware
Palo Alto Networks
Maar naast het botnet, coinminer, en ransomware component, is er ook een worm component, die verantwoordelijk is voor het verspreiden van XBash om interne netwerken.
Palo Alto Networks zegt dit onderdeel is aanwezig in de code, maar niet actief in de malware per-se, die lijken te zijn in een ontwikkelingsfase.
Volgens hun analyse deze module is alleen bedoeld voor de inzet op Windows servers en bestaat uit een “LanScan” – functie die een lijst genereert van IP-adressen op hetzelfde subnet van de besmette gastheer is gelegen.
De worm component wordt verondersteld om sonde dezelfde lange lijst van poorten en services in de lijst hierboven, in een poging toegang te krijgen tot andere computers in een bedrijfsnetwerk.
Ook: ‘Vader van Zeus Kronos malware, exploits Office bug te kapen uw bankrekening
De reden, onderzoekers verklaren, is dat binnen het bedrijfsnetwerk of intranet, computers zich op het interne netwerk (en niet rechtstreeks verbonden zijn met het Internet) kan minder veiligheidsmaatregelen, of kan worden geconfigureerd voor het gebruik van zwakkere wachtwoorden dan de direct aangesloten online.
Voor nu, is deze functie niet actief is, maar de onderzoekers verwachten dat het leven te gaan in de toekomst XBash versies.
Al met al, XBash is heel erg een work in progress, en deskundigen verwachten dat het Ijzer van de groep voor het activeren van de coinminer component voor Linux-servers, zodat oplichters voor het genereren van nog meer winst op dan ze genereren van nu.
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters
0