Charlie Osborne Bidragyder
Charlie Osborne er en cybersikkerhedsjournalist og fotograf, der skriver for ZDNet og CNET fra London.
Fuld biografi Udgivet i Zero Day den 2. februar 2022 | Emne: Sikkerhed
En ny malware-familie, der målretter cloud-tjenester til at udvinde kryptovaluta, er blevet opdaget af forskere.
Dubbet CoinStomp er malwaren kompromitteret af shell-scripts, der “forsøger at udnytte cloud compute-instanser hostet af cloud-tjenesteudbydere med det formål at minedrift af kryptovaluta,” ifølge Cado Security.
Virksomhedens forskere siger, at det overordnede formål med CoinStomp er stille og roligt at kompromittere tilfælde for at udnytte computerkraften til ulovlig mine til kryptovaluta, en form for angreb kendt som kryptojacking.
En række angrebsforsøg har indtil videre været fokuseret på cloud-tjenesteudbydere i Asien.
Løb i koden refererede også til Xanthe, en kryptojacking-trusselsgruppe, der for nylig var knyttet til Abcbot-botnettet. Imidlertid er ledetråden – fundet i en nedlagt nyttelast-URL – ikke nok til at fastslå, hvem der er ansvarlig for CoinStomp og kan have været inkluderet i “et forsøg på at forhindre tilskrivning,” ifølge holdet.
CoinStomp har en række interessante muligheder. Den ene er dens afhængighed af “timestomping” – manipulation af tidsstempler ved at køre touch -t-kommandoen på Linux-systemer for at opdatere filændringer og adgangstider.
“Det forekommer sandsynligt, at timestomping blev brugt til at sløre brugen af chmod- og chattr-værktøjerne, da retsmedicinske værktøjer ville vise de kopierede versioner af disse binære filer som sidst tilgået (udført) på det tidsstempel, der blev brugt ved berøringen kommando,” bemærkede Cado Security.
Derudover vil malwaren forsøge at manipulere med Linux-serverens kryptografiske politikker. Disse politikker kan forhindre ondsindede eksekverbare filer i at blive droppet eller eksekveret, og derfor har CoinStomps udvikler inkluderet funktioner til at deaktivere hele systemets kryptografiske politikker gennem en kill-kommando.
“Dette kan fortryde administratorers forsøg på at hærde målmaskinen, hvilket sikrer, at malwaren når sine mål,” siger forskerne.
CoinStomp vil derefter etablere en forbindelse til sin kommando-og-kontrol (C2) server via en omvendt shell. Scriptet downloader og udfører derefter yderligere nyttelaster som systemdækkende systemtjenester, komplet med root-privilegier.
Disse inkluderer binære filer til potentielt at skabe bagdøre og en tilpasset version af XMRig, legitim Monero-minesoftware misbrugt til kriminelle formål.
“CoinStomp demonstrerer angribernes sofistikerede og viden inden for cloud-sikkerhedsområdet,” siger Cado Security. “Anvendelse af anti-kriminaltekniske teknikker og svækkelse af målmaskinen ved at fjerne kryptografiske politikker demonstrerer ikke kun en viden om Linux-sikkerhedsforanstaltninger, men også en forståelse af hændelsesresponsprocessen.”
Tidligere og relateret dækning
Cryptojacking nu føjet til listen over cryptocurrency trusler
Abcbot botnet er knyttet til Xanthe cryptojacking group
Cryptojacking-kampagne rammer Kina med filløse angreb
Har du et tip? Kom sikkert i kontakt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Blockchain | Sikkerheds-tv | Datastyring | CXO | Datacentre