Noll
Smör attack kampanj har stärkts genom införandet av Samba Trojan, en senaste ändringen till den smygande kriminell verksamhet.
Forskare från it-företaget GuardiCore har spårat Smör kampanj eftersom 2015 och medan attacker med ursprung från de kriminella bakom det har i allmänhet varit begränsad, särskilt, bara från fyra IPs-en ny last har nu genomförts som “har gått oupptäckt av många säkerhetsprodukter.”
I ett blogginlägg på torsdag, team sade att “Smör härstammar från ett mycket begränsat antal angrepp källor och håller dem [kampanjen] vid liv utan att fångas på grund av dess låga och långsam drift.”
Attacken börjar med en brute-force SSH attack på Linux-maskiner. Om detta enkla, ursprungliga attack vektor visar sig framgångsrik kampanjen lämnar en bakdörr bakom kallas Smör, tillsammans med en Trojan på datorn.
Nyttolasten har genomgått ett antal övergångar över tid. Den vanligaste lasten är de äldre 80 skadlig kod och den nya Samba, fd som är en x64 variant av den välkända XOR.DDOS med filnamn 80.
80 är en remote access-Trojaner (RÅTTA) som kan starta distribuerad denial-of-service (DDoS) attacker, genomför åtgärder för att upprätthålla uthållighet, dödar alla konkurrerande skadlig programvara på infekterade datorer och installerar en Linux-kärna rootkit för att dölja sin närvaro.
I jämförelse, Samba är en RÅTTA som dök upp på scenen i och med 2018. Inte att förväxla med SambaCry sårbarhet, denna Trojan är inte bara klarar av standard Trojan funktioner som nämnts ovan, men också möjlighet att exekvera shell-kommandon, ladda ner ytterligare filer, innehåller en uppgradering mekanism, och kan installera och köra en cryptocurrency miner.
Se även: KingMiner malware kapar den fulla kraften av Windows Server Processorer
GuardiCore säger att eftersom skadlig kod dök upp, sju varianter har upptäckts.
Samba verkar vara unik för Smör, och på samma sätt som tidigare kampanjer spåras av den säkerhet som företaget — i fall av Bondnet och Prowli — några av skadlig kod är skriven i Golang programmeringsspråk.
Den senaste varianten av kampanjen, när du är inne i en sårbar maskinen kommer att köra en uppsättning kommandon för att skapa användare “Smör” och installera bakdörr. Behörigheterna ändras för att tillåta file execution, inklusive utplacering av Samba.
Vid körning, Samba kommer att radera log-filer för att dölja infektion, lägga sig till konfigurations-och start system för uthållighet. Samba kommer också att genomgå “långa sömnperioder” för att undvika upptäckt.
RÅTTAN därefter genomför en uppdatering förfarande och miner testamentsexekutor över vanlig HTTP-kommando-och-kontroll (C2) server. Gruvarbetare använder ström stulna från offrets dator CPU till gruvan för Monero.
CNET: s Kongress vill fortfarande ha svar från Amazon om sin ansiktsigenkänning tech
Det är inte känt hur mycket pengar angriparna har som genereras genom dessa attacker.
“Angriparna bakom Smör är proffs,” forskarna säger. “De har lyckats samla in maskiner, att vara aktiv i flera år och tjäna pengar på sina verksamheter-och allt detta utan att bli påkommen. Genom att “om låg” och undvika att göra attribution misstag, att de lyckats hålla sig smygande med en relativt enkel infrastruktur.”
För att upptäcka potentiella Smör och bedrägliga gruvdrift, administratörer behöver för att enkelt söka efter en användare som heter “Smör” i deras system och hålla ett öga på CPU-processer. Om några intensiva aktiviteter som upptäckts och som använder stora mängder av makt, måste de stoppas och deras binärer bort.
TechRepublic: Hur sjukhusen kan använda för att bekämpa AI medicinska enheten för dataintrång
I Smör fall cryptocurrency gruv-relaterade domännamn är fr.minexmr.com. IPs ansluten för att Smör kommer från Hong Kong och Singapore.
“Vi kontinuerligt med att hitta de mest grundläggande attack metoder som fungerade för tio år sedan fungerar fortfarande och kommer nog att fortsätta vara effektiva i framtiden,” GuardiCore säger. “Brute-tvinga referenser och enkla uthållighet metoder såsom att lägga till användare till systemet är inte att gå bort när som helst snart.
“Angripare kommer att fortsätta att söka för lågt hängande frukt och missbruk det så länge det är lönsamt,” laget till. “Dessa enkla-att-kompromiss-servrar, måste hanteras som en del av ett försök att “rensa upp Internet.”
Tidigare och relaterade täckning
AriseBank VD ansikten 120 år bakom galler över påstådda cryptocurrency bluff Hackare kan utnyttja denna bugg i övervakningskameror för att mixtra med bilder Atrium Hälsa dataintrång utsatt 2.65 miljoner patientjournaler
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0