Linux сървъри, насочени към нова китайска група за крипто копаене

Нова киберпрестъпна група, за която се смята, че оперира извън Китай, хаква сървъри на Linux от миналата есен и инсталира нов вид зловреден софтуер, който копае криптовалута.

Открита от изследователи по сигурността в Intezer, тази нова група – която те нарекоха Pacha Group – не е насочена директно към сървърите на Linux, а към приложенията, които работят отгоре.

Експертите казват, че хакерите на Pacha Group използват атаки с груба сила, за да компрометират услуги като WordPress или PhpMyAdmin и след като имат първоначална опора, те ескалират достъпа си до основния сървър, където внедряват своя злонамерен софтуер, който Intezer е кръстил Linux. GreedyAntd (наричан по-долу Antd).

А отчет от китайски изследовател по сигурността поставя първото наблюдение на Antd в средата на септември 2018 г. Intezer казва, че изходният код на зловреден софтуер се припокрива с изходния код на друг щам на зловреден софтуер, открит през януари тази година и наречен Linux. HelloBot, използван и от Pacha Group.

Признаците сочат към хакери, които разработват и тестват злонамерения софтуер паралелно и след това се придържат към Antd за текущите операции.

Според Intezer's техническо дълбоко гмуркане във вътрешната работа на злонамерения софтуер, Antd е сложен фрагмент от код, който е проектиран около модулна структура и е проектиран да работи с множество командни и контролни сървъри.

„Можем да предположим, че основната причина за наличието на такава широка инфраструктура, включваща голям брой компоненти е да го направим по-устойчив на спирания на сървъри, както и да осигурим фактор на модулност“, екипът на Intezer казах.

„Освен това наличието на това количество компоненти, свързани помежду си, също предполага инвестиране на много по-големи усилия, за да се почисти дадена компрометирана система.“

Операциите по почистване също са трудни, защото Antd не се държи непременно като повечето зловреден софтуер за Linux. Той не използва прикрит cronjob за постигане на устойчивост на заразени системи, а вместо това добавя услуга Systemd, която имитира легитимната услуга mandb. Освен ако следователите не знаят какво търсят, е трудно да се забележи задната врата на Antd и сървърите най-вероятно ще бъдат повторно заразявани отново и отново.

Освен това изглежда, че Pacha Group също знае какво правят, когато създават компонента за крипто копаене.

Intezer казва, че този модул Antd е модифициран вариант на XMRig, който използва протокола за копаене на Stratum, но вместо да съхранява локални конфигурационни файлове, той използва прокси услуга, за да скрие настройките и портфейла си адрес. Това прави проследяването на операциите и печалбите на Pacha Group много по-трудно в сравнение с множеството други групи за злонамерен софтуер за крипто копаене.

Освен това, компонентът за крипто копаене също идва със „списък за унищожаване“ на процеси на други крипто копачи, но това не е първият път, когато подобна функция е забелязана [1, 2].

Засега собствениците на Linux сървъри трябва да са наясно, че тази заплаха съществува. Хакерите може да не атакуват системите им директно, но администраторите трябва да се уверят, че приложенията, с които работят техните сървъри се поддържат актуални и не използват пароли по подразбиране или лесни за отгатване за тяхното управление сметки.

Покритие, свързано със зловреден софтуер и киберпрестъпления:

• Операторът на осем DDoS услуги под наем се признава за виновен
• Услугата за криптовалута Coinhive ще бъде затворена през март 2019 г
• Руски гражданин, автор на банковия троян NeverQuest, се призна за виновен
• Данни за кредитна карта на стойност близо 3,5 милиона долара, обявени за продажба в хакерски форум
• Зловреден софтуер, който търси идентификационни данни на акаунти в уебсайтове за възрастни, се е утроил през 2018 г
• Уязвимостта разкрива местоположението на хиляди C&C сървъри за зловреден софтуер
  
• Зловреден софтуер вече може да избягва инструментите за сигурност в облака TechRepublic
• Открит злонамерен софтуер за криптодобив, маскиран като Flash актуализации CNET