Möt CoinStomp: Ny cryptojacking malware riktar sig mot asiatiska molntjänstleverantörer

0
201

Charlie OsborneSkrivet av Charlie Osborne, bidragsgivare Charlie Osborne Charlie Osborne Bidragsgivare

Charlie Osborne är en cybersäkerhetsjournalist och fotograf som skriver för ZDNet och CNET från London.

Fullständig biografi Publicerad i Zero Day den 2 februari 2022 | Ämne: Säkerhet

Forskare har upptäckt en ny skadlig programvara som är inriktad på molntjänster för att bryta kryptovaluta.

Dubbad CoinStomp, skadlig programvara äventyras av skalskript som “försöker utnyttja molnberäkningsinstanser som tillhandahålls av molntjänstleverantörer i syfte att bryta kryptovaluta”, enligt Cado Security.

Företagets forskare säger att det övergripande syftet med CoinStomp är att i tysthet kompromissa med instanser för att utnyttja datorkraften till olaglig min för kryptovaluta, en form av attack som kallas kryptojackning.

Ett antal attackförsök har hittills fokuserats på molntjänstleverantörer i Asien.

Ledtrådar i koden refererade också till Xanthe, en kryptojackningshotgrupp som nyligen var knuten till Abcbots botnät. Ledtråden – som finns i en nedlagd nyttolast-URL – räcker inte för att säkert fastställa vem som är ansvarig för CoinStomp och kan ha inkluderats i “ett försök att förhindra tillskrivning”, enligt teamet.

CoinStomp har ett antal intressanta funktioner. En är dess beroende av “timestomping” – manipulering av tidsstämplar genom att köra touch-kommandot på Linux-system för att uppdatera filändringar och åtkomsttider.

“Det verkar troligt att timestomping användes för att fördunkla användningen av verktygen chmod och chattr, eftersom kriminaltekniska verktyg skulle visa de kopierade versionerna av dessa binärer som senast åtkomliga (exekverade) vid den tidsstämpel som användes vid beröringen kommando,” noterade Cado Security.

Dessutom kommer skadlig programvara att försöka manipulera Linux-serverns kryptografiska policyer. Dessa policyer kan förhindra att skadliga körbara filer släpps eller körs, och därför har CoinStomps utvecklare inkluderat funktioner för att inaktivera systemomfattande kryptografiska policyer genom ett kill-kommando.

“Detta kan ångra försök att hårdna målmaskinen från administratörer, vilket säkerställer att skadlig programvara når sina mål”, säger forskarna.

CoinStomp kommer sedan att upprätta en anslutning till sin kommando-och-kontroll-server (C2) via ett omvänt skal. Skriptet laddar sedan ner och kör ytterligare nyttolaster som systemomfattande systemtjänster, komplett med root-privilegier.

Dessa inkluderar binärer för att potentiellt skapa bakdörrar och en anpassad version av XMRig, legitim Monero gruvprogramvara som missbrukas i kriminella syften.

“CoinStomp demonstrerar sofistikeringen och kunskapen hos angripare i molnsäkerhetsområdet”, säger Cado Security. “Att använda anti-kriminaltekniska tekniker och försvaga målmaskinen genom att ta bort kryptografiska policyer visar inte bara kunskap om Linux-säkerhetsåtgärder utan också en förståelse för incidentresponsprocessen.”

Har du ett tips? Ta kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0

Säkerhet

Osäkrad AWS-server exponerad 3TB i flygplatsanställdas register Så här hittar och tar du bort spionprogram från din telefon Microsoft: Så här stoppade vi den största DDoS-attacken någonsin. Den bästa antivirusprogramvaran och apparna: Håll din dator, telefon, surfplatta säker Hur teknik är ett vapen i modern misshandel i hemmet Blockchain | Säkerhets-TV | Datahantering | CXO | Datacenter