Home Bezpieczeństwo Badacze odkrywają nową kampanię złośliwego oprogramowania skupiającą się na Cryptojackingu w celu wydobywania Monero

Bezpieczeństwo

Badacze odkrywają nową kampanię złośliwego oprogramowania skupiającą się na Cryptojackingu w celu wydobywania Monero

Badacze ds. cyberbezpieczeństwa z Palo Alto Networks odkryli nowe złośliwe oprogramowanie skupiające się na wydobywaniu kryptowalut, takich jak Monero

przez

Cesara Villullasa

5 z lutego 2021

Badacze zajmujący się cyberbezpieczeństwem z jednostki 42 firmy Palo Alto Networks odkryli nową kampanię szkodliwego oprogramowania skupiającą się na wydobywaniu kryptowaluty zapewniającej prywatność Monero.

Nowa kampania złośliwego oprogramowania o nazwie Hildegarda ma na celu atakowanie klastrów platformy Kubernetes o otwartym kodzie źródłowym, w celu wykorzystania mocy obliczeniowej sprzętu w górnictwie Monero (XMR)The kryptowaluta skupiony na prywatności. Firma zajmująca się cyberbezpieczeństwem, która odkryła złośliwe oprogramowanie, Palo Alto Networkszauważa, że to nowe złośliwe oprogramowanie może być wykorzystywane przez grupę zagrożeń TeamTNT, znaną z wykorzystywania niezabezpieczonych demonów Docker, wdrażania złośliwych obrazów kontenerów i przeprowadzania ataków mających na celu kradzież danych uwierzytelniających Amazon Web Services i nie tylko.

El informe Badania przeprowadzone przez Palo Alto Networks Unit 42 pokazują, że atakującym udało się uzyskać początkowy dostęp poprzez źle skonfigurowany kubelet, który umożliwił anonimowy dostęp do sieci, umożliwiając atakującym osiedlenie się w jednym z klastrów. Po zainfekowaniu jednego z nich szkodliwe oprogramowanie Hildegard zaczęło rozprzestrzeniać się tak szeroko, jak to możliwe w całym systemie i jego komputerach, ostatecznie uruchamiając operacje szkodliwego oprogramowania. cryptojacking, w celu wykorzystania mocy obliczeniowej każdego z zainfekowanych komputerów Kubernetes do wydobywania kryptowalut, takich jak Monero, w ukradkowy i nielegalny sposób.

Może Cię zainteresować: Nowe potencjalne ryzyko dla Twoich bitcoinów. Hiszpania wśród krajów najbardziej dotkniętych złośliwym oprogramowaniem

Funkcje nowego złośliwego oprogramowania

Według badaczy z Unit 42 nowe szkodliwe oprogramowanie działa zaledwie od miesiąca i chociaż zawiera wiele narzędzi i funkcji znanych z poprzednich kampanii szkodliwego oprogramowania prowadzonej przez tę grupę zagrożeń, szkodliwe oprogramowanie Hildegard ma także kilka nowych cech charakterystycznych, które zauważyli badacze nie widziałem w poprzednich kampaniach.

W szczególności badacze cyberbezpieczeństwa zauważają, że szkodliwe oprogramowanie Hildegard TeamTNT wykorzystuje dwa sposoby nawiązywania połączeń dowodzenia i kontroli (C2): jeden za pośrednictwem powłoki odwrotnej tmate, a drugi za pośrednictwem kanału Internet Relay Chat (IRC), opartego na tekście tekstu. protokół komunikacji czasu, który używali ostatnio twórcy Bitcoin aby omówić aktywację Taproot w sieci.

Ponadto nowa kampania złośliwego oprogramowania wykorzystuje znaną nazwę procesu systemu Linux (bioset) w celu zamaskowania i ukrycia szkodliwego procesu, dzięki czemu działa on bardziej ukradkowo i trwale. Badacze podkreślają również, że szkodliwe oprogramowanie Hildegard wykorzystuje technikę wstrzykiwania biblioteki opartą na LD_PRELOAD, która pozwala mu ukrywać szkodliwe procesy, aby nie zostać wykrytym. Dodatkowo szyfruje szkodliwy ładunek w pliku binarnym, aby utrudnić automatyczną analizę statyczną, dzięki czemu jest odporny na tego typu skany.

Z drugiej strony, oprócz wszystkich tych cech, badacze podkreślają, że jest to kampania szkodliwego oprogramowania w fazie pełnego rozwoju, ponieważ jej baza kodowa i infrastruktura są najwyraźniej niekompletne.

Nielegalne wydobycie Monero (XMR).

Badacze z firmy zajmującej się cyberbezpieczeństwem odkryli, że zasoby obliczeniowe przejęte z klastrów Kubernetes w ramach kampanii szkodliwego oprogramowania były wykorzystywane do złośliwego i potajemnego wydobywania kryptowaluty zapewniającej prywatność Monero (XMR).

Do wydobywania kryptowaluty szkodliwe oprogramowanie wykorzystywało koparkę XMRig, jedna z najatrakcyjniejszych koparek dla cyberprzestępców według ESET, kolejnej wysoko rozpoznawalnej firmy zajmującej się cyberbezpieczeństwem na rynku. ESET-a zapewnieniu jak że 73% szkodliwego oprogramowania wykorzystywanego do nielegalnego wydobycia w Ameryce Łacińskiej i na świecie wykorzystuje XMRig.

Pomimo krótkiego czasu trwania tej kampanii szkodliwego oprogramowania badacze odkryli, że cyberprzestępcy przechowywali już około 25,05 KH mocy obliczeniowej lub stopa hashowania, za pomocą którego udało im się wydobyć około 11 XMR, których wartość w momencie publikacji tej edycji wynosiła 1.640 dolarów.

Kontynuuj czytanie: ESET odkrywa nową rodzinę złośliwego oprogramowania zdolnego do wydobywania i kradzieży kryptowalut

Usługi

Funkcje nowego złośliwego oprogramowania

Nielegalne wydobycie Monero (XMR).

Powiązane artykuływięcej od autora

Jeśli korzystasz z portfeli cyfrowych, powinieneś wiedzieć o tym niewidzialnym zagrożeniu, które maskuje się jako Captcha.

19-letni oszust wykorzystał grę Minecraft i podszywał się pod pracownika Google/Yahoo, aby ukraść kryptowaluty o wartości 245 milionów dolarów.

NimDoor: północnokoreańskie złośliwe oprogramowanie atakujące startupy Web3 na macOS

Powiązane artykuły więcej od autora