En ny it-kriminella grupp som tros att arbeta i Kina har hackat sig in i Linux-servrar sedan förra hösten och installera en ny stam av skadlig kod som gruvor cryptocurrency.
Upptäckt av säkerhet forskare vid Intezer, denna nya grupp, som de heter Pacha-Gruppen-har inte riktade Linux-servrar direkt, men de appar som körs på toppen.
Experter säger Pacha Grupp hackare använder brute-force attacker att kompromissa tjänster som WordPress eller PhpMyAdmin, och när de har ett första fotfäste, de eskalerar deras tillgång till den underliggande server för att där distribuera sina skadliga program, som Intezer har namnet Linux.GreedyAntd (nedan Antd).
En rapport från en Kinesisk säkerhet forskare platser för första gången Antd i mitten av September 2018. Intezer säger malware källkod överlappar med källkoden av annan skadlig kod stam upptäcktes i januari i år och som heter Linux.HelloBot, som också används av Pacha Grupp.
Tecken pekar på att hackare för att utveckla och testa malware parallellt och sedan hålla sig med Antd för nuvarande verksamhet.
Enligt Intezer teknisk djupdykning i den malware s inre arbetet, Antd är en komplex del av koden som är konstruerad kring en modulär struktur och utformad för att fungera med flera ledning och styrning av servrar.
Bild: Intezer
Bild: Intezer
“Vi kan anta att den främsta anledningen till att ha en så bred infrastruktur som omfattar ett stort antal komponenter är att göra det mer motståndskraftigt mot server för nedläggning samt för att ge en faktor av modularitet,” Intezer laget sa.
“Dessutom, med denna mängd av komponenter som är sammankopplade med varandra innebär också att investera en mycket större insats för att rengöra en viss äventyras systemet.”
Saneringen görs också svårt eftersom Antd inte nödvändigtvis beter sig som de flesta Linux-malware. Det behöver inte använda en förklädd cronjob för att få uthållighet på infekterade system, men i stället lägger en Systemd tjänst som imiterar legitima mandb service. Om inte utredarna vet vad de letar efter, det är svårt att se Antd är bakdörr, och servrar kommer sannolikt att få återinfekterade om och om igen.
Dessutom, Pacha Gruppen verkar också för att veta vad de gjorde när de skapade crypto-gruv-komponent.
Intezer säger detta Antd-modul är en modifierad XMRig variant som använder Stratum gruv-protokollet, men i stället för att lagra lokala config-filer, använder en proxy för att dölja sina inställningar och plånbok adress. Detta gör tracking Pacha Koncernens verksamhet och resultat mycket svårare jämfört med flera andra crypto-gruv-malware grupper.
På toppen av detta, crypto-gruv-komponent kommer också med en “kill list” av processer för andra crypto-gruvarbetare, men detta är inte första gången en sådan funktion har varit spotted [1, 2].
För nu, Linux-server ägare bör vara medveten om att detta hot är ute. Hackare kan inte attackera sina system direkt, men admins måste se till att de program de kör på deras servrar är uppdaterade och inte använda standard eller lätt att gissa lösenord för deras hantering av konton.
Skadlig programvara och it-brottslighet i samband täckning:
Operatören av åtta DDoS-för-hyra tjänster vädjar guiltyCoinhive cryptojacking tjänsten stängdes i Mars 2019Russian nationella, författare av NeverQuest bank trojan, pläderar guiltyCredit kortuppgifter värd nästan $3,5 miljoner lägga upp för försäljning på hacking forumMalware som jagar efter kontouppgifter på vuxna webbplatser tredubblats i 2018Vulnerability exponerar plats för tusentals skadliga C&C-servrar
Malware kan nu undgå cloud security verktyg TechRepublicCryptomining malware upptäckt maskerad som Flash uppdateringar CNET
Relaterade Ämnen:
Linux
Säkerhet-TV
Hantering Av Data
CXO
Datacenter