Nul
Smør angreb kampagne er blevet styrket gennem etableringen af Samba Trojan, er en nylig ændring i den snigende kriminel operation.
Forskere fra cybersecurity firma GuardiCore har været at spore Smør kampagne, da 2015 og samtidig angreb, der stammer fra kriminelle bag det har generelt været begrænset-især kun fra fire IPs-en ny nyttelast er nu blevet gennemført, som “er gået uopdaget af mange sikkerheds-produkter.”
I et blog-indlæg på torsdag, holdet, sagde, at “Smør stammer fra et meget begrænset antal af angreb kilder og holder dem [kampagnen] i live uden at blive fanget på grund af sin lave og langsom drift.”
Angrebet starter med et brute-force SSH angreb på Linux-maskiner. Hvis denne simple, indledende angreb lykkes, kampagnen efterlader en bagdør bag kaldet Smør, sammen med en Trojan nyttelast.
Nyttelasten har gennemgået en række af overgange over tid. De mest almindelige nyttelast er den ældre 80 malware og nye Samba, den tidligere som er en x64 variant af den velkendte XOR.DDOS-med det filnavn, 80.
80 er en fjernadgang Trojan (ROTTE) i stand til at lancere distribueret denial-of-service (DDoS) angreb, gennemfører foranstaltninger til at opretholde vedholdenhed, dræber enhver konkurrerende malware på inficerede maskiner, og installerer en Linux kernel rootkit til at skjule sin tilstedeværelse.
I sammenligning, Samba er en ROTTE, der dukkede op på scenen i 2018. Ikke at forveksle med den SambaCry sårbarhed, denne Trojanske er ikke kun i stand til standard Trojan funktionaliteter, som nævnt ovenfor, men også i stand til at udføre skalkommandoer, hente flere filer, der indeholder en opgradering mekanisme, og er i stand til at installere og udføre en cryptocurrency miner.
Se også: KingMiner malware kaprer den fulde effekt af Windows Server Cpu ‘ er
GuardiCore siger, at da malware første viste, syv varianter er blevet opdaget.
Samba ser ud til at være unikke for Smør, og på samme måde som tidligere kampagner sporet af den sikkerhed, virksomheden — i tilfælde af Bondnet og Prowli — nogle af malware, der er skrevet i Golang programmeringssprog.
Den seneste variant af kampagnen, når du er inde i en sårbar maskine, der kan køre en række systemkommandoer for at oprette bruger “Smør” og installere bagdør. Fil tilladelser er ændret for at tillade, file execution, herunder udsendelse af Samba.
Ved udførelse, Samba vil tørre log-filer for at skjule infektion, lægge sig til konfiguration og opstart af systemer til vedholdenhed. Samba vil også gennemgå “den lange søvn-perioder”, for at undgå afsløring.
ROTTEN så implementerer en opdatering procedure og miner eksekutor over almindelig HTTP at en kommando-og-kontrol (C2) – server. Den minearbejder, der bruger strøm, stjålet fra offerets maskine CPU til mine Monero.
CNET: Kongres stadig vil have svar fra Amazon om sin facial anerkendelse tech
Det vides ikke, hvor mange penge de angribere, der har genereret gennem disse angreb.
“Angriberne bag Smør er professionelle,” siger forskerne. “De har formået at samle maskiner, forblive aktive i flere år, og tjene penge på deres aktiviteter-og alt dette uden at blive fanget. Ved at “lave om”, og undgå at lave attribution fejl, de formået at holde snigende med en forholdsvis simpel infrastruktur.”
For at opdage potentielle Smør og svigagtig minedrift, admins skal blot søge efter en bruger, som bliver kaldet “Smør” i deres systemer og holde øje med CPU-processer. Hvis nogen intensive aktiviteter, der er konstateret, og som bruger store mængder af magt, er de nødt til at være stoppet, og deres binære filer er fjernet.
TechRepublic: Hvordan sygehusene kan bruge AI til bekæmpelse af medicinsk udstyr hacking
I Smør er tilfældet, cryptocurrency mining-relaterede domæne er fr.minexmr.com. IPs tilsluttet Smør stammer fra Hong Kong og Singapore.
“Vi løbende finder, at den mest grundlæggende angreb metoder, der arbejdede for ti år siden, virker stadig og vil sikkert fortsætte med at være effektiv i fremtiden,” GuardiCore siger. “Brute-forcing legitimationsoplysninger og enkel vedholdenhed metoder, såsom tilføjelse af brugere til systemet er ikke at gå væk når som helst snart.
“Angribere vil fortsætte med at søge efter lavt-hængende frugt og misbrug, så længe det er rentabelt,” team tilføjet. “Disse let-at-kompromis, servere, skal håndteres som en del af et forsøg på at “rydde op på Internettet.”
Tidligere og relaterede dækning
AriseBank administrerende DIREKTØR over 120 år bag tremmer over påståede cryptocurrency fidus Hackere kan udnytte denne fejl i overvågningskameraer for at manipulere med optagelser Atrium Sundhed bruddet udsat 2.65 millioner patientjournaler
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre
0