Ένα crypto-mining malware που στοχεύει κυρίως συστήματα που βασίζονται σε Linux, έχει γίνει ακόμη πιο επικίνδυνο χάρη στην ενσωμάτωση ενός open-source trojan απομακρυσμένης πρόσβασης, που ονομάζεται Chaos RAT. Με τις προηγμένες δυνατότητες του malware, οι hackers μπορούν να ελέγχουν remote operating systems.
Οι ερευνητές ασφαλείας της Trend Micro ήταν αυτοί που ανακάλυψαν την απειλή τον περασμένο μήνα. Όπως και προηγούμενες, παρόμοιες εκδόσεις του miner που στόχευαν επίσης συστήματα Linux, έτσι και η ανανεωμένη έκδοση “εξοντώνει” ανταγωνιστικό κακόβουλο λογισμικό και πόρους που θα μπορούσαν να εμποδίσουν την crypto-mining διαδικασία που ακολουθεί το malware.
Δείτε επίσης: Fortinet: Διορθώστε την ευπάθεια του FortiOS SSL-VPN
Το νεότερο κακόβουλο λογισμικό δημιουργεί στη συνέχεια persistence “με την αλλαγή του αρχείου /etc/crontab, ενός UNIX task scheduler που, σε αυτήν την περίπτωση, γίνεται λήψη κάθε 10 λεπτά από το Pastebin“, έγραψαν οι ερευνητές της Trend Micro, David Fiser και Alfredo Oliveira.
Στη συνέχεια, κατεβάζει ένα XMRig miner, ένα configuration file, ένα άλλο payload που καταργεί ανταγωνιστικά κακόβουλα προγράμματα και το Chaos RAT (εργαλείο απομακρυσμένης πρόσβασης), το οποίο είναι γραμμένο σε Go και έχει πολλές δυνατότητες, όπως η επανεκκίνηση ή ο τερματισμός λειτουργίας του μηχανήματος του θύματος.
Επιπλέον, το εργαλείο μπορεί να εισχωρήσει στο μολυσμένο σύστημα (reverse shell), να τραβήξει screenshots από τη συσκευή του θύματος, να συλλέξει πληροφορίες για το λειτουργικό σύστημα και να κατεβάσει, να ανεβάσει ή να διαγράψει αρχεία.
Δείτε επίσης: Play ransomware: Πήρε την ευθύνη για την επίθεση στην Αμβέρσα
“Ένα ενδιαφέρον χαρακτηριστικό του malware είναι ότι η διεύθυνση και το access token περνούν ως compilation flags και είναι hardcoded μέσα στο RAT client“, έγραψαν οι ερευνητές.
Επίσης, σύμφωνα με την έκθεση της Trend Micro, ο κύριος server, που χρησιμοποιείται για τη λήψη payloads, φαίνεται να βρίσκεται στη Ρωσία, ενώ το Chaos RAT συνδέεται με έναν άλλο command-and-control server που πιστεύεται ότι βρίσκεται στο Χονγκ Κονγκ.
Οι ερευνητές λένε ακόμα ότι ο ρωσικός διακομιστής έχει χρησιμοποιηθεί επίσης για cloud bulletproof hosting – υπηρεσίες υποδομής που μπορούν να χρησιμοποιήσουν οι εγκληματίες για να εξαπολύσουν και να κρύψουν τις επιθέσεις και άλλες παράνομες δραστηριότητές τους. Σύμφωνα με την Trend Micro, άλλοι εγκληματίες του κυβερνοχώρου έχουν χρησιμοποιήσει την ίδια υπηρεσία hosting για τις επιθέσεις τους σε υποδομές cloud, containers και διακομιστές Linux.
Δείτε επίσης: Εντοπίστηκε νέο Python backdoor που στόχευε VMware ESXi servers
Οι ερευνητές υποστηρίζουν ότι η ενσωμάτωση ενός RAT, εδώ του Chaos, σε crypto-mining malware δεν είναι άνευ σημασίας. “Επιφανειακά, η ενσωμάτωση ενός RAT στη ρουτίνα μόλυνσης ενός κακόβουλου λογισμικού crypto-mining μπορεί να φαίνεται σχετικά μικρή. Ωστόσο, δεδομένων των λειτουργιών του εργαλείου και του γεγονότος ότι αυτή η εξέλιξη δείχνει ότι οι φορείς απειλών που βασίζονται στο cloud εξακολουθούν να εξελίσσουν τις καμπάνιες τους, είναι σημαντικό τόσο οι οργανισμοί όσο και τα άτομα να παραμείνουν ιδιαίτερα προσεκτικοί όσον αφορά την ασφάλεια“.
Τα crypto-mining malware χρησιμοποιούνται όλο και πιο συχνά από εγκληματίες του κυβερνοχώρου. Οι οργανισμοί πρέπει να γνωρίζουν αυτή την απειλή, ώστε να μπορούν να λάβουν μέτρα για την αποφυγή μόλυνσης. Διασφαλίζοντας ότι το λογισμικό τους είναι πάντα ενημερωμένο και εγκαθιστώντας λύσεις προστασίας από ιούς, οι οργανισμοί θα μπορέσουν να προστατευτούν καλύτερα από τέτοιου είδους επιθέσεις.
Πηγή: www.theregister.com