Phần mềm độc hại đào tiền mã hóa

Nghiên cứu mới về cơ sở hạ tầng đằng sau một botnet DDoS mới nổi có tên Abcbot đã phát hiện ra các liên kết “rõ ràng” với một cuộc tấn công botnet khai thác tiền điện tử được đưa ra ánh sáng vào tháng 12 năm 2020.

Các cuộc tấn công liên quan đến Abcbot, đầu tiên tiết lộ bởi nhóm bảo mật Netlab của Qihoo 360 vào tháng 11 năm 2021, là kích hoạt thông qua một tập lệnh shell độc hại nhắm mục tiêu đến các phiên bản đám mây không an toàn do các nhà cung cấp dịch vụ đám mây như Huawei, Tencent, Baidu và Alibaba Cloud vận hành để tải xuống phần mềm độc hại đồng chọn máy với mạng botnet, nhưng không phải trước khi chấm dứt các quy trình từ các tác nhân đe dọa cạnh tranh và thiết lập sự bền bỉ.

Bản thân tập lệnh shell được đề cập là bản lặp lại của phiên bản cũ hơn ban đầu đã phát hiện bởi Trend Micro vào tháng 10 năm 2021, đánh vào các phiên bản ECS dễ bị tấn công bên trong Huawei Cloud.

Sao lưu GitHub tự động

Nhưng trong một bước ngoặt thú vị, việc tiếp tục phân tích mạng botnet bằng cách ánh xạ tất cả các Chỉ số thỏa hiệp (IoC) đã biết, bao gồm địa chỉ IP, URL và mẫu, đã tiết lộ mã của Abcbot và các điểm tương đồng ở cấp độ tính năng với hoạt động khai thác tiền điện tử được đặt tên Xanthe đã khai thác các triển khai Docker được định cấu hình không chính xác để truyền nhiễm.

Phần mềm độc hại đào tiền mã hóa

“Cùng một tác nhân gây ra mối đe dọa chịu trách nhiệm cho cả Xanthe và Abcbot và đang chuyển mục tiêu từ khai thác tiền điện tử trên các máy chủ bị xâm nhập sang các hoạt động liên quan đến botnet truyền thống hơn, chẳng hạn như tấn công DDoS”, Matt Muir của Cado Security nói trong một báo cáo được chia sẻ với The Hacker News.

Sự trùng lặp về ngữ nghĩa giữa hai họ phần mềm độc hại bao gồm từ cách mã nguồn được định dạng đến các tên được đặt cho các quy trình, với một số chức năng không chỉ thể hiện tên và triển khai giống hệt nhau (ví dụ: “kiểm tra tên”) mà còn có thêm từ “đi” ở cuối tên hàm (ví dụ: “filerungo”).

“Điều này có thể chỉ ra rằng phiên bản Abcbot của chức năng đã được lặp đi lặp lại nhiều lần, với chức năng mới được thêm vào mỗi lần lặp,” Muir giải thích.

Ngăn chặn vi phạm dữ liệu

Hơn nữa, quá trình kiểm tra sâu các hiện vật phần mềm độc hại cho thấy khả năng của botnet có thể tạo ra đến 4 người dùng của riêng họ bằng cách sử dụng các tên chung chung, không dễ thấy như “autoupdater”, “logger”, “sysall” và “system” để tránh phát hiện và thêm chúng vào tập tin sudoers để cung cấp cho những người dùng giả mạo quyền quản trị đối với hệ thống bị nhiễm.

“Việc tái sử dụng mã và thậm chí sao chép tương tự thường được thấy giữa các họ phần mềm độc hại và các mẫu cụ thể trên bất kỳ nền tảng nào”, Muir nói. “Nó có ý nghĩa từ quan điểm phát triển; cũng giống như mã cho phần mềm hợp pháp được sử dụng lại để tiết kiệm thời gian phát triển, điều tương tự cũng xảy ra với phần mềm bất hợp pháp hoặc độc hại.”





Source link

Leave a Reply

Your email address will not be published