Поділитися цією статтею
Відділення кібербезпеки AT&T усуває загрозу Крипто Miner для серверів електронної пошти
Новий технічний аналіз від AT&T Alien Labs пропонує внутрішній погляд на те, як згубна форма шкідливого програмного забезпечення для майнінгу Monero проникає в мережі електронної пошти.
Автор Danny Nelson
Alien Labs AT&T занурюється в аналіз зловмисного програмного забезпечення для криптомайнінгу з новим технологічним аналізом того, як майнер Monero проникає в мережі.
Випущено в четвер звіт Дослідник безпеки Фернандо Домінгес надає покрокову інструкцію того, як ONE досить низькопрофільний криптоджекер заражає та поширюється на вразливі сервери Exim, Confluence та WebLogic, встановлюючи шкідливий код, який видобуває Monero через проксі. Згідно з даними, сервери exim становлять більше половини всіх серверів електронної пошти ZDNet.
Перш ніж спробувати проникнути на інші відомі машини в мережі, хробак спочатку впроваджує на цільові сервери сценарій BASH, який перевіряє та вбиває конкуруючі процеси видобутку. Криптомайнери часто вбивають конкуруючих майнерів коли вони заражають систему, і з ONE дуже простої причини: згідно зі звітом, чим більше ЦП завантажує інший процес, тим менше залишається для інших.
Зламані сервери потім завантажують корисне навантаження сценарію: «омлет» (як називається змінна завантаженого виконуваного файлу) на основі майнера Monero з відкритим кодом під назвою XMRig.
XMRig, доступний на GitHub, є фаворитом хакерів зловмисного програмного забезпечення та звичайним будівельним блоком в арсеналі криптоджекерів. Він був модернізований Майнер MacBook, поширюватися поперек 500 000 комп’ютерів і в 2017 році став настільки популярним, що звіти про шкідливий майнінг перевищив 400 відсотків.
За даними AT&T Alien Labs, цей модифікований майнер працює через проксі. Це робить відстеження коштів або навіть визначення адреси гаманця майже неможливим без доступу до проксі-сервера.
Смажити цей омлет важко. Під час завантаження також завантажується інший файл під назвою «sesame», ідентичний оригінальному сценарію BASH. Це ключ до наполегливості хробака: він виконує завдання cron з п’ятихвилинним інтервалом, що дає йому змогу протистояти спробам знищення та вимкненню системи. Він навіть може автоматично оновлюватися новими версіями.
AT&T Alien Labs почала стежити за хробаком у червні 2019 року. Раніше його вивчала компанія з аналізу хмарної безпеки Lacework у липні.
Дослідники T зовсім знають, наскільки широко поширений цей безіменний майнер Monero . У звіті Alien Labs визнається, що «важко оцінити, який дохід ця кампанія принесла загрозливому актору», але зазначається, що кампанія «не дуже велика».
Тим не менш, він служить нагадуванням для всіх операторів серверів: завжди KEEP своє програмне забезпечення виправленим і оновленим.
More For You
Атакуючий вивів 116 500 rsETH, приблизно 18% від циркулюючої пропозиції, з моста Kelp на базі LayerZero у суботу, що спричинило екстрене блокування в Aave, SparkLend, Fluid та Upshift.
What to know:
- Зловмисник використав міст Kelp DAO на базі LayerZero для викрадення 116 500 rsETH — приблизно 292 мільйони доларів США та близько 18 відсотків від циркулюючої пропозиції токена — що спричинило екстрену паузу основних контрактів.
- Оскільки міст утримував резерви, що підтримують rsETH на більш ніж 20 мережах, втрата викликала сумніви щодо...
Головне
