Den sidste gruppe er ved at gennemføre en aktiv kampagne, som er rettet mod Linux-systemer i cryptocurrency minedrift angreb.
Tirsdag, den JASK Special Ops forskning team oplyst yderligere detaljer.PDF) af angreb bølge, som synes at fokusere på beslaglæggelse infrastruktur ressourcer til at støtte ulovlige Monero minedrift.
Kampagnen bruger en raffineret version af Shellbot, en Trojan, som skærer en tunnel mellem en inficeret system og en command-and-control (C2) – server, der drives af trussel aktører.
Bagdøren er i stand til at indsamle system og personlige data, stoppe eller køre opgaver og processer, downloade yderligere nyttelast, åbne ekstern kommando-linje skaller, sende stjålne oplysninger til en C2, og også modtage yderligere malware nyttelast fra controllere.
Bot første dukkede op i November 2018. Ifølge Trend Micro, malware, er det arbejde, den sidste gruppe, en grov oversættelse, der stammer fra “haiduc,” en rumænsk sætning, som er testamenteret til de vigtigste hacking værktøj, bruger koncernen.
Shellbot er en IRC bot, som er en distribueret gennem fælles kommando-injektion som mål ikke kun udsat Linux-servere, men også en bred vifte af Internet of Things (IoT) – enheder.
Cybersikkerhed forskere bemærk, at Shellbot har kapacitet til at påvirke Windows-miljøer og Android-enheder, også, men sådanne infektioner er ualmindeligt.
Se også: Facebook værste personlige skandaler og data katastrofer
I angreb, der blev registreret i November af Trend Micro, Outlaw var i stand til at gå på kompromis en FTP (File Transfer Protocol) server af en Japansk kunst, organisation, sammen med en Bangladeshiske regerings hjemmeside. Et andet angreb, der registreres af JASK, som er mest sandsynligt fra den samme trussel-gruppen, formået at bryde ind i flere Linux servere, der tilhører en enkelt, unavngiven selskab.
Hvert af disse systemer har modtaget nyttelast post-infektion, herunder IRC C2 botware, cryptomining malware, og haiduc SSH-scan og netværk formering toolkit. Den cryptocurrency malware var en minedrift script, XMR-Stak, der er designet til at udnytte stjålet server ressourcer til mine Monero (XMR).
Den pulje, der anvendes til at generere cryptocurrency, men er i øjeblikket nede, og de eneste spor til rådighed, viser, at poolen var hosted på en spil server.
“Dette tyder på, at denne kampagne aktører kan have bygget deres egen minedrift pool infrastruktur på denne provider i stedet for at bruge offentligt tilgængelige dem,” siger forskerne.
TechRepublic: Hvordan sikrer NGINX med Lad os Kryptere
Truslen aktører mål organisationer gennem denial-of-service – (DoS) og SSH brute-force-teknikker. Hvis servere er kompromitteret, deres styrke er tilføjet til Outlaw botnet til at bære på kampagnen.
Ifølge JASK, botnet er nu bliver brugt til at tjene penge på kompromitteret computing systemer gennem distribueret denial-of-service (DDoS) for udlejning sammen ulovlig cryptomining.
Den værktøjskasse, der tilhører Outlaw er nu også gøre brug af en Perl-baseret IRC bot, som er blevet identificeret som en ny version af Shellbot suppleret med Perl ‘ s pack rutine for anvendelsen af formørkelse.
CNET: Huawei kontrovers: Alt, hvad du behøver at vide
“C2 er stadig aktiv og botnet er voksende,” den sikkerhed, siger forskere. “I flere trin nyttelast tyder på, genbrug og genbrug af shellbot kode, der bruges af aktører i forskellige regioner af verden, herunder Brasilien og Rumænien. JASK også har observeret, at der nyligt er tilpasset nyttelast, at håndværk specifikke mine opgaver, for forskellige arkitekturer og post udnyttelse orm-lignende adfærd.”
Tidligere og relaterede dækning
Denne smarte pære kan lække dine Wi-Fi password
Hacker beskriver Magyar Telekom sårbarheder, ansigter fængsel
Black hat hackere, hvid krave kriminelle snuggle op til at fungere insiderhandel ordninger
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre