Вредонос «CoinStomp» состоит из набора шелл-скриптов, которые «пытаются использовать облачные вычислительные мощности, размещенные у провайдеров, для нелегальной добычи криптовалюты» - сообщает Cado Security.
Исследователи утверждают, что общая цель CoinStomp - незаметно скомпрометировать как можно больше облачных инстансов, чтобы использовать вычислительные мощности для незаконной добычи криптовалюты, что обычно называется «криптоджекингом».
Попытки атак пока что были направлены на азиатских облачных провайдеров.
Следы в коде ссылаются на Xanthe – хакерскую группировку, связанную с ботнетом Abcbot. Однако зацепки, найденной в неработающем URL-адресе из полезной нагрузки вредоноса, явно недостаточно, чтобы точно установить, кто ответственен за CoinStomp. По словам исследователей, ссылка могла быть включена в код в «попытку сорвать атрибуцию».
CoinStomp обладает рядом интересных возможностей. Одна из них заключается в использовании «таймстомпинга» - манипуляции временными метками путем выполнения команды touch -t в системах Linux для обновления времени модификации файлов и доступа к ним.
«Представляется вероятным, что таймстомпинг использовался для обфускации использования утилит chmod и chattr, поскольку инструменты компьютерной форензики покажут, что скопированные версии этих двоичных файлов были в последний раз выполнены в момент времени, использованный в команде touch» - отметили в Cado Security.
Кроме того, вредонос пытается вмешаться в криптографические политики сервера Linux. Эти политики могут предотвратить загрузку или выполнение вредоносных исполняемых файлов, поэтому разработчик CoinStomp предусмотрел возможность отключения общесистемных криптографических политик с помощью команды kill.
«Это может отменить попытки администраторов защитить целевую машину, что гарантирует достижение целей атакующего» - заявляют исследователи.
Следующим этапом CoinStomp устанавливает соединение со своим командно-контрольным сервером через реверс-шелл. Скрипт загружает и выполняет дальнейшую полезную нагрузку в качестве общесистемных служб systemd с привилегиями root.
К ним относятся двоичные файлы для потенциального создания бэкдоров и кастомная версия XMRig, легального программного обеспечения для добычи Monero, используемого в преступных целях.
«CoinStomp демонстрирует глубокие знания злоумышленников в области облачной безопасности» - сообщают в Cado Security. «Использование методов защиты от криминалистов и ослабление целевой машины путем удаления криптографических политик демонстрирует не только знание мер безопасности Linux, но и понимание процесса реагирования на инциденты».
Источник: https://www.zdnet.com
