ГлавнаябезопасностьОблако Huawei: стремитесь к обновлению криптомайнинга вредоносных программ

Облако Huawei: стремитесь к обновлению криптомайнинга вредоносных программ

Новая версия вредоносного ПО для крипто-майнинга Linux, которое ранее использовалось для нацеливания на контейнеры Docker в 2020 году, теперь ориентирована на новых поставщиков облачных услуг, таких как Huawei Cloud.

Облако Huawei
Облако Huawei: стремитесь к обновлению криптомайнинга вредоносных программ

См. Также: Вредоносное ПО FontOnLake: атакует системы Linux с помощью троянских утилит.

Анализ новой кампании был проведен исследователями TrendMicro, которые объяснили, как вредоносная программа эволюционировала с новыми функциями, сохранив при этом свою прежнюю функциональность.

Более конкретно, в более новых образцах комментируется функция создания правил брандмауэра (но она все еще существует) и продолжается отказ от сетевого сканера для сопоставления других хостов с портами, связанными с API.

Однако новая версия вредоносного ПО нацелена только на облачные среды и теперь ищет и удаляет другие сценарии криптоджекинга, которые ранее могли заразить систему.

После удаления пользователей, созданных другими вредоносными объектами, хакеры добавляют своих собственных пользователей, что является обычным шагом для многих операторов крипто-таргетинга. Однако, в отличие от многих других криптомайнеров, вредоносное ПО добавляет учетные записи своих пользователей в список sudoers, предоставляя им root-доступ к устройству.

См. Также: ShellClient Malware: используется в аэрокосмических компаниях.

Чтобы гарантировать постоянство на устройстве, злоумышленники используют свой собственный ключ ssh-RSA для внесения изменений в систему и изменения разрешений на файлы в заблокированное состояние.

Это означает, что даже если другой хакер получит доступ к устройству в будущем, он не сможет получить полный контроль над уязвимой машиной.

Хакеры устанавливают это прокси-сервис Tor для защиты коммуникаций от обнаружения и сканирования сетевого сканирования, пропуская через него все соединения для анонимности.

Бинарные файлы, которые «падают» («linux64_shell», «ff.sh», «fczyo», «xlinux») имеют некоторый уровень обфускации, и TrendMicro обнаружила признаки упаковщика UPX, используемого для упаковки.

Хакеры пошли дальше, скоординировав «скрытность» двоичных файлов с автоматическими инструментами анализа и обнаружения.

См. Также: Как ошибка кода превращает AirTags в распространителей вредоносного ПО

Как только они закрепятся на устройстве, хакерские скрипты воспользуются преимуществами удаленных систем и заразят их вредоносными скриптами и криптомайнером.

Известные уязвимости, которые были просканированы во время этой атаки, включают:

  • Слабые пароли SSH
  • Уязвимость Oracle WebLogic Server от Oracle Fusion Middleware (CVE-2020-14882)
  • Несанкционированный доступ к Redis или ненадежные пароли
  • Несанкционированный доступ к PostgreSQL или ненадежный пароль
  • SQLServer слабый пароль
  • Несанкционированный доступ к MongoDB или ненадежный пароль
  • Слабый пароль протокола передачи файлов (FTP)

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.
spot_img

ЖИВЫЕ НОВОСТИ