Облако Huawei стало мишенью обновленного вредоносного ПО для криптомайнинга

13
Популярная библиотека NPM взломана для установки хищников паролей и майнеров

Новая версия вредоносного ПО для крипто-майнинга Linux, которое ранее использовалось для нацеливания на контейнеры Docker в 2020 году, теперь ориентирована на новых поставщиков облачных услуг, таких как Huawei Cloud.

Анализ новой кампании был проведен исследователями TrendMicro, которые объясняют, как вредоносная программа эволюционировала с новыми функциями, сохранив при этом свои предыдущие функции.

В частности, в более новых образцах закомментирована функция создания правил брандмауэра (но она все еще существует) и продолжается отказ от сетевого сканера для сопоставления других хостов с соответствующими портами API.

Однако новая версия вредоносного ПО нацелена только на облачные среды и теперь ищет и удаляет любые другие сценарии криптоджекинга, которые ранее могли заразить систему.

При заражении системы Linux злонамеренный майнер будет выполнять следующие шаги, которые включают удаление пользователей, созданных конкурирующими распространителями вредоносных программ для крипто-майнинга.

После удаления пользователей, созданных другими злоумышленниками, злоумышленники добавляют своих собственных пользователей, что является обычным шагом для многих криптоджекеров, ориентированных на облако. Однако, в отличие от многих других криптомайнеров, вредоносная программа добавляет их учетные записи пользователей в список sudoers, предоставляя им root-доступ к устройству.

Чтобы гарантировать, что на устройстве сохраняется постоянство, злоумышленники используют свой собственный ключ ssh-RSA для внесения изменений в систему и изменения прав доступа к файлам в заблокированное состояние.

Это означает, что даже если другой субъект получит доступ к устройству в будущем, он не сможет получить полный контроль над уязвимой машиной.

Акторы устанавливают прокси-службу Tor для защиты связи от обнаружения и проверки при сканировании сети, передавая через нее все соединения для анонимности.

Актеры подверглись дальнейшему вмешательству, чтобы настроить двоичные файлы для скрытности от автоматических наборов инструментов анализа и обнаружения.

После закрепления на устройстве сценарии хакера будут использовать удаленные системы и заражать их вредоносными сценариями и криптомайнером.

К известным уязвимостям, просканированным во время этой атаки, относятся:

  • Слабые пароли SSH
  • Уязвимость Oracle WebLogic Server продукта Oracle Fusion Middleware (CVE-2020-14882)
  • Несанкционированный доступ Redis или слабые пароли
  • Несанкционированный доступ к PostgreSQL или ненадежный пароль
  • SQLServer слабый пароль
  • Несанкционированный доступ MongoDB или ненадежный пароль
  • Протокол передачи файлов (FTP) ненадежный пароль

CSP под обстрелом

Huawei Cloud — относительно новая услуга, но китайский технологический гигант утверждает, что уже обслуживает более трех миллионов клиентов. TrendMicro проинформировала Huawei о кампании, но пока не получила подтверждения.

Независимо от того, развертываете ли вы свои экземпляры, имейте в виду, что оценка уязвимостей и сканирование на наличие вредоносных программ может оказаться недостаточным для защиты от этой атаки. Вам необходимо оценить модель безопасности вашего CSP и скорректировать свой подход, чтобы дополнить ее дополнительными средствами защиты.

Эти нацеленные на облачные вычисления крипто-майнеры находятся на подъеме с начала года, и пока криптовалютные ценности растут, у участников будет стимул сделать их более мощными и трудными для обнаружения.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here