Відділення кібербезпеки AT&T усуває загрозу Крипто Miner для серверів електронної пошти

Alien Labs AT&T занурюється в аналіз зловмисного програмного забезпечення для криптомайнінгу з новим технологічним аналізом того, як майнер Monero проникає в мережі.

Випущено в четвер звіт Дослідник безпеки Фернандо Домінгес надає покрокову інструкцію того, як ONE досить низькопрофільний криптоджекер заражає та поширюється на вразливі сервери Exim, Confluence та WebLogic, встановлюючи шкідливий код, який видобуває Monero через проксі. Згідно з даними, сервери exim становлять більше половини всіх серверів електронної пошти ZDNet.

Перш ніж спробувати проникнути на інші відомі машини в мережі, хробак спочатку впроваджує на цільові сервери сценарій BASH, який перевіряє та вбиває конкуруючі процеси видобутку. Криптомайнери часто вбивають конкуруючих майнерів коли вони заражають систему, і з ONE дуже простої причини: згідно зі звітом, чим більше ЦП завантажує інший процес, тим менше залишається для інших.

Зламані сервери потім завантажують корисне навантаження сценарію: «омлет» (як називається змінна завантаженого виконуваного файлу) на основі майнера Monero з відкритим кодом під назвою XMRig.

XMRig, доступний на GitHub, є фаворитом хакерів зловмисного програмного забезпечення та звичайним будівельним блоком в арсеналі криптоджекерів. Він був модернізований Майнер MacBook, поширюватися поперек 500 000 комп’ютерів і в 2017 році став настільки популярним, що звіти про шкідливий майнінг перевищив 400 відсотків.

За даними AT&T Alien Labs, цей модифікований майнер працює через проксі. Це робить відстеження коштів або навіть визначення адреси гаманця майже неможливим без доступу до проксі-сервера.

Смажити цей омлет важко. Під час завантаження також завантажується інший файл під назвою «sesame», ідентичний оригінальному сценарію BASH. Це ключ до наполегливості хробака: він виконує завдання cron з п’ятихвилинним інтервалом, що дає йому змогу протистояти спробам знищення та вимкненню системи. Він навіть може автоматично оновлюватися новими версіями.

AT&T Alien Labs почала стежити за хробаком у червні 2019 року. Раніше його вивчала компанія з аналізу хмарної безпеки Lacework у липні.

Дослідники T зовсім знають, наскільки широко поширений цей безіменний майнер Monero . У звіті Alien Labs визнається, що «важко оцінити, який дохід ця кампанія принесла загрозливому актору», але зазначається, що кампанія «не дуже велика».

Тим не менш, він служить нагадуванням для всіх операторів серверів: завжди KEEP своє програмне забезпечення виправленим і оновленим.