Отдел кибербезопасности AT&T выявил угрозу Криптo для серверов электронной почты

Alien Labs из AT&T приступает к анализу вредоносного ПО для майнинга криптовалют, представив новый технологический анализ того, как майнер Monero проникает в сети.

Выпущенный в четверг,отчет исследователь безопасности Фернандо Домингес представляет пошаговое руководство о том, как ONE довольно малоизвестный криптоджекер заражает и распространяется по уязвимым серверам Exim, Confluence и WebLogic, устанавливая вредоносный код, который майнит Monero через прокси. Серверы Exim составляют более половины всех почтовых серверов, согласно ZDNet.

Сначала червь внедряет на целевые серверы скрипт BASH, который проверяет и останавливает конкурирующие процессы майнинга, прежде чем попытаться проникнуть на другие известные машины в сети.часто убивают конкурирующих майнеров когда они заражают систему, и по ONE очень простой причине: чем больше ресурсов ЦП потребляет один процесс, тем меньше остается для других, говорится в отчете.

Затем взломанные серверы загружают полезную нагрузку скрипта: «омлет» (так называется загружаемая переменная исполняемого файла) на основе майнера Monero с открытым исходным кодом под названием XMRig.

Доступный на GitHub, XMRig является фаворитом хакеров вредоносного ПО и обычным строительным блоком в арсенале криптоджекеров. Он был модернизирован вШахтеры MacBook,распространено по всему500 000 компьютеров и в 2017 году стал настолько популярным, что появились сообщения о вредоносном майнингеподскочил более 400процентов.

Этот модифицированный майнер работает через прокси, согласно AT&T Alien Labs. Это делает отслеживание средств или даже распознавание адреса кошелька практически невозможным без доступа к прокси-серверу.

Жарить этот омлет сложно. Когда он загружается, другой файл под названием «sesame» — идентичный оригинальному скрипту BASH — тоже загружается. Это ключ к живучести червя: он цепляется к заданию cron с пятиминутным интервалом, что позволяет ему выдерживать попытки уничтожения и отключения системы. Он даже может автоматически обновляться новыми версиями.

Компания AT&T Alien Labs начала отслеживать червя в июне 2019 года. Ранее, в июле, его изучала компания Lacework, занимающаяся анализом безопасности облачных вычислений.

Исследователи T знают, насколько распространен этот неназванный майнер Monero . В отчете Alien Labs признается, что «трудно оценить, какой доход эта кампания принесла субъекту угрозы», но отмечается, что кампания «не очень большая».

Тем не менее, это служит напоминанием всем операторам серверов: всегда KEEP и обновляйте свое программное обеспечение.