Een nieuwe cyber-criminele groep die wordt verondersteld te bedienen van China is het hacken van Linux-servers, die sinds afgelopen najaar en het installeren van een nieuwe vorm van malware die mijnen cryptocurrency.
Ontdekt door security-onderzoekers van Intezer, deze nieuwe groep –die ze met de naam Pacha Groep– niet gericht Linux servers rechtstreeks, maar de apps die worden uitgevoerd op de top.
Experts zeggen Pacha Groep hackers met een brute-force aanvallen te compromis diensten zoals WordPress of PhpMyAdmin, en zodra ze een eerste voet aan de grond, ze escaleren hun toegang tot het onderliggende server, waar zetten zij hun malware, die Intezer heeft met de naam Linux.GreedyAntd (hierna Antd).
Een verslag van een Chinese security-onderzoeker plaatst de eerste waarneming van Antd medio September 2018. Intezer zegt de malware de broncode overlapt met de source code van een andere malware-stam ontdekt in januari van dit jaar en met de naam Linux.HelloBot, ook gebruikt door de Pacha Groep.
Aanwijzingen dat hackers de ontwikkeling en het testen van de malware in parallel en vervolgens plakken met Antd voor de huidige activiteiten.
Volgens Intezer de technische diepe duik in de malware de innerlijke werking, Antd is een complex stuk van de code die is ontworpen rond een modulaire structuur en is ontworpen om te werken met meerdere command en control-servers.

Afbeelding: Intezer
Afbeelding: Intezer
“We kunnen ervan uitgaan dat de belangrijkste reden voor het hebben van een dergelijke brede infrastructuur waarbij een groot aantal onderdelen is het beter bestand naar de server afsluiten en u te voorzien van een factor van modulariteit,” de Intezer team gezegd.
“Bovendien, met deze hoeveelheid componenten onderling verbonden met elkaar betekent ook investeren een veel grotere inspanning leveren om schoon te maken een gegeven gecompromitteerd systeem.”
Het opruimen zijn ook bemoeilijkt omdat Antd niet altijd gedragen zoals de meeste Linux-malware. Het niet gebruik maken van een verkapte cronjob te krijgen persistentie op geïnfecteerde systemen, maar in plaats daarvan voegt een Systemd service die bootst de legitieme mandb service. Tenzij onderzoekers weten wat ze zoeken, is het moeilijk om ter plaatse Antd de achterdeur, en servers zal waarschijnlijk opnieuw besmet raken over en weer.
Bovendien, Pacha Groep ook lijkt te weten wat ze aan het doen waren toen ze gemaakt de crypto-mijnbouw component.
Intezer zegt dit Antd module is een gewijzigde XMRig variant die gebruik maakt van het Stratum mijnbouw protocol, maar in plaats van het opslaan van lokale config bestanden, het gebruik van een proxy-service te verbergen instellingen en portemonnee adres. Dit maakt het bijhouden van Pacha Groep en winsten veel moeilijker vergeleken met de meerdere van de andere crypto-mijnbouw malware groepen.
Op de top van deze, de crypto-mijnbouw component komt ook met een “kill list” van processen van andere crypto-mijnwerkers, maar dit is niet de eerste keer dat een dergelijke functie is gespot [1, 2].
Voor nu, Linux server eigenaren moeten zich bewust zijn dat deze dreiging er is. De hackers kunnen niet aanvallen op hun systemen, maar admins moet ervoor zorgen dat de apps die ze draaien op hun servers zijn up to date gehouden en niet standaardinstellingen gebruiken of eenvoudig te raden wachtwoorden voor hun management accounts.
Malware en cybercriminaliteit verwante dekking:
Exploitant van acht DDoS-voor-het huren van een pleit guiltyCoinhive cryptojacking service te sluiten in Maart 2019Russian nationale, auteur van NeverQuest banking trojan, pleit guiltyCredit card gegevens ter waarde van bijna $3,5 miljoen voor verkoop op hacking forumMalware die jaagt voor rekening referenties op adult websites verdrievoudigde in 2018Vulnerability bloot locatie van duizenden malware C&C-servers
Malware kan nu het ontwijken van cloud security tools TechRepublicCryptomining malware ontdekt, vermomd als Flash-updates CNET
Verwante Onderwerpen:
Linux
Beveiliging TV
Data Management
CXO
Datacenters