Et nyt cyber-kriminelle gruppe, der menes at operere ud af Kina har været et indbrud i Linux-servere siden sidste efterår og installation af en ny stamme af malware, der miner cryptocurrency.
Opdaget af sikkerhedseksperter på Intezer, denne nye gruppe-som de kaldte Pacha Gruppe– har ikke målrettet Linux-servere direkte, men de apps, der kører på toppen.
Eksperter siger, Pacha Gruppe hackere bruger brute-force-angreb til at gå på kompromis tjenester som WordPress eller PhpMyAdmin, og når de har en indledende fodfæste, de forøge deres adgang til den underliggende server, hvor de implementere deres malware, som Intezer har navnet Linux.GreedyAntd (i det følgende benævnt Antd).
En rapport fra en Kinesisk sikkerhedsekspert steder den første observation af Antd i midten af September 2018. Intezer siger malware kildekode overlapper med kildekoden i anden malware stamme, opdagede i januar i år, og med navnet Linux.HelloBot, der også anvendes i Pacha-Gruppen.
Tegn punkt for hackere udvikling og afprøvning af malware i parallel og så stikker med Antd for aktuelle operationer.
Ifølge Intezer tekniske dybt dyk ned i den malware indre funktioner, Antd er et komplekst stykke kode, der er bygget op omkring en modulær struktur og designet til at arbejde med flere kommando-og kontrol-servere.
Billede: Intezer
Billede: Intezer
“Vi kan antage, at den vigtigste grund til at have sådan en bred infrastruktur, der involverer et stort antal komponenter er at gøre det mere modstandsdygtigt over for server-nedbrud, samt til at give en faktor af modularitet,” Intezer holdet.
“Desuden har denne mængde af komponenter forbundet med hinanden, også indebærer, at investere en meget større indsats for at rense en given kompromitteret system.”
Oprydningsarbejdet er også vanskeligt, fordi Antd ikke nødvendigvis opfører sig som de fleste Linux-malware. Det behøver ikke bruge en forklædt cronjob til at få vedholdenhed på inficerede systemer, men i stedet tilføjer et Systemd service, der efterligner legitimt mandb ‘ service. Medmindre efterforskere vide, hvad de leder efter, er det svært at få øje på Antd er bagdør, og servere vil mest sandsynligt blive inficeret igen, igen og igen.
Desuden Pacha-Gruppen ser også ud til at vide, hvad de lavede, da de skabte crypto-mining komponent.
Intezer siger, at dette Antd modul er en modificeret XMRig variant, der bruger Stratum mining-protokollen, men i stedet for at gemme lokale config filer, det bruger en proxy-tjeneste for at skjule sine indstillinger og tegnebog adresse. Dette gør at spore Pacha Koncernens aktiviteter og overskud langt sværere i forhold til flere af de andre krypto-mining malware grupper.
På toppen af dette, crypto-mining komponent kommer også med en “kill list” af processer af andre krypto-minearbejdere, men dette er ikke første gang, sådan en funktion er blevet spottet [1, 2].
For nu, Linux server-ejere bør være opmærksom på, at denne trussel er derude. Hackere kan ikke angribe deres systemer direkte, men admins nødt til at sørge for de apps, som de kører på deres servere er holdt op med at date, og ikke bruger standard eller let-at-gætte adgangskoder til deres regnskaber.
Malware og cyber-kriminalitet relateret dækning:
Operatøren af otte DDoS-til-leje service plæderer guiltyCoinhive cryptojacking service til at lukke ned i Marts 2019Russian nationale, forfatter af NeverQuest bank trojan, plæderer guiltyCredit kortoplysninger til en værdi af næsten $3,5 millioner udbudt til salg på hacking forumMalware, der jager konto legitimationsoplysninger på voksen websites tredoblet i 2018Vulnerability udsætter placering af tusindvis af skadelige C&C-servere
Malware kan nu unddrage cloud sikkerhed værktøjer TechRepublicCryptomining malware opdaget maskeret som Flash opdateringer, CNET
Relaterede Emner:
Linux
Sikkerhed-TV
Data Management
CXO
Datacentre