Zero
Il Burro di attacco campagna è stata sostenuta attraverso la distribuzione di Samba, il Trojan è stato un recente cambiamento per il furtivo operazione criminale.
I ricercatori di sicurezza informatica azienda GuardiCore sono state seguendo il Burro di campagna a partire dal 2015 e mentre gli attacchi provenienti da criminali dietro di esso è stato generalmente limitato, in particolare, solo da quattro IPs-un nuovo payload è stato implementato il quale “è stato rilevato da molti prodotti per la sicurezza.”
In un post sul blog di giovedì, la squadra ha detto che “Burro proviene da un numero molto limitato di attacco fonti e li tiene [la campagna] vivo senza essere scoperti a causa del suo basso e lento.”
L’attacco inizia con un brute-force SSH attacco su macchine Linux. Se questo semplice, iniziale vettore di attacco si dimostra efficace, la campagna di foglie segreta dietro la chiamata di Burro, insieme con un Trojan payload.
Il payload ha subito una serie di transizioni nel corso del tempo. Il più comune payload sono il più vecchio di 80 malware e il nuovo Samba, il primo dei quali è un x64 variante del ben noto XOR.DDOS con il nome del file 80.
80 è un Trojan di accesso remoto (RATTO) capace di lanciare attacchi denial-of-service (DDoS), attua le misure per mantenere la persistenza, uccide off a qualsiasi altro malware sul computer infetti, e installa un kernel Linux rootkit per nascondere la sua presenza.
In confronto, Samba è un RATTO che è apparso sul palco nel 2018. Da non confondere con il SambaCry vulnerabilità, questo Trojan è in grado non solo di standard Trojan funzionalità di cui sopra, ma anche in grado di eseguire comandi di shell, il download di altri file, contiene un meccanismo di aggiornamento, ed è in grado di installare ed eseguire un cryptocurrency minatore.
Vedi anche: KingMiner malware dirotta tutta la potenza di Windows Server Cpu
GuardiCore dice che dal momento che il malware emersi per la prima volta, sette varianti di essere stato scoperto.
Samba sembra essere solo Burro, e nello stesso modo delle precedenti campagne, monitorati dalla sicurezza di impresa, nei casi di Bondnet e Prowli, alcuni dei malware è scritto nel Golang linguaggio di programmazione.
La variante più recente della campagna, una volta all’interno di una macchina vulnerabile, di eseguire una serie di comandi di sistema, al fine di creare l’utente “Burro” e installare backdoor. Autorizzazioni per i File vengono modificati per consentire l’esecuzione di file, tra cui l’implementazione di Samba.
Al momento dell’esecuzione, Samba a cancellare i file di log per nascondere l’infezione, aggiungendo stessa configurazione ed avvio di sistemi per la persistenza. Samba sarà oggetto di “lunghi periodi di sonno” per evitare il rilevamento.
Il RATTO attua una procedura di aggiornamento e minatore esecutore via HTTP a un comando e controllo (C2) server. Il minatore usa il potere rubato alla vittima della CPU della macchina per la mia per Monero.
CNET: il Congresso vuole ancora risposte da parte di Amazon sul suo riconoscimento facciale tech
Non è noto quanti soldi gli hacker hanno generato attraverso questi attacchi.
“Gli attaccanti dietro di Burro professionisti”, hanno detto i ricercatori. “Sono riusciti a raccogliere le macchine, rimanere attivo per diversi anni e di monetizzare le loro operazioni-e tutto questo senza essere scoperti. Da ‘la posa basso’ ed evitare di fare errori di attribuzione, che è riuscito a rimanere furtivo con un relativamente semplice infrastrutture”.
Per individuare potenziali Burro e fraudolento, attività estrattive, gli amministratori devono semplicemente cercare un utente chiamato “Burro” nei loro sistemi e di tenere d’occhio i processi della CPU. Se una qualsiasi delle attività intensive sono scoperti, che utilizzano elevate quantità di energia, hanno bisogno di essere fermato e i loro binari rimossi.
TechRepublic: Come gli ospedali possono usare gli AI per combattere il dispositivo medico hacking
Nel Burro caso di cryptocurrency di data mining correlati a dominio è fr.minexmr.com. Gli indirizzi ip collegati al Burro hanno origine da Hong Kong e Singapore.
“Siamo continuamente di trovare che la maggior parte di base metodi di attacco che ha lavorato dieci anni fa funzionano ancora, e probabilmente continuerà a essere efficace in futuro,” GuardiCore dice. “Brute-costringendo le credenziali e la persistenza semplice metodi come l’aggiunta di utenti per il sistema non sta andando via in qualunque momento presto.
“Gli aggressori continuerà a cercare di frutta a basso impiccagione e l’abuso di esso fino a quando è redditizio,” il team ha aggiunto. “Questi facile compromesso i server devono essere gestiti come parte di un tentativo di “clean up the Internet”.
Precedente e relativa copertura
AriseBank CEO facce 120 anni dietro le sbarre per presunte cryptocurrency truffa gli Hacker possono sfruttare questo bug in telecamere di sorveglianza per manomettere il metraggio Atrio Salute violazione dei dati esposti 2.65 milioni di record del paziente
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
0