Reklam
CryptocurrencySecurity

Huawei Cloud, güncellenmiş kripto madenciliği kötü amaçlı yazılımının hedefi oldu

bitcoin

Daha önce 2020’de Docker kapsayıcılarını hedeflemek için kullanılan bir Linux kripto madenciliği kötü amaçlı yazılımının yeni bir sürümü, şimdi Huawei Cloud gibi yeni bulut hizmeti sağlayıcılarına odaklanıyor.

Yeni kampanyanın analizi, kötü amaçlı yazılımın önceki işlevlerini korurken yeni özelliklerle nasıl geliştiğini açıklayan TrendMicro’daki araştırmacılardan geliyor.

Daha spesifik olarak, daha yeni örnekler, güvenlik duvarı kuralları oluşturma işlevini yorumladı (ancak hala orada) ve API ile ilgili bağlantı noktalarına sahip diğer ana bilgisayarları eşlemek için bir ağ tarayıcısı bırakmaya devam ediyor.

Ancak, yeni kötü amaçlı yazılım sürümü yalnızca bulut ortamlarını hedefliyor ve şimdi sisteme daha önce bulaşmış olabilecek diğer kripto hırsızlığı komut dosyalarını arıyor ve kaldırıyor.

Bir Linux sistemine bulaşırken, kötü niyetli madeni para madenciliği, rakip kripto madenciliği kötü amaçlı yazılım dağıtıcıları tarafından oluşturulan kullanıcıların kaldırılmasını içeren aşağıdaki adımları gerçekleştirecektir.

Kötü amaçlı yazılımın işlev sırası
Kötü amaçlı yazılımın işlev sırası
Kaynak: Trend Micro

Diğer tehdit aktörleri tarafından oluşturulan kullanıcıları çıkardıktan sonra, aktörler kendi kullanıcılarını ekler, bu birçok bulut hedefleme kripto hırsızı için ortak bir adımdır. Bununla birlikte, diğer birçok kripto madencisinin aksine, kötü amaçlı yazılım, kullanıcı hesaplarını sudoers listesine ekleyerek cihaza kök erişimi sağlar.

Cihazda kalıcılığın korunmasını sağlamak için saldırganlar, sistem değişiklikleri yapmak ve dosya izinlerini kilitli bir duruma değiştirmek için kendi ssh-RSA anahtarını kullanır.

Bu, gelecekte başka bir aktör cihaza erişim kazansa bile, savunmasız makinenin tam kontrolünü ele geçiremeyecekleri anlamına gelir.

Aktörler, iletişimleri ağ tarama algılamasından ve incelemesinden korumak için Tor proxy hizmetini kurar ve anonimleştirme için tüm bağlantıları bunun üzerinden geçirir.

İkili dağıtım şeması
İkili dağıtım şeması
Kaynak: TrendMicro

Bırakılan ikili dosyalar (“linux64_shell”, “ff.sh”, “fczyo”, “xlinux”) bir miktar karışıklık içerir ve TrendMikro UPX paketleyicinin paketleme için dağıtıldığına dair işaretler gördü.

İkili dosyada görülen UPX başlığı
İkili dosyada görülen UPX başlığı
Kaynak: TrendMicro

Oyuncular, otomatik analiz ve tespit araç setlerine karşı ikili dosyaları gizlilik için ayarlamak için daha fazla kurcalamadan geçtiler.

Bir cihaz üzerinde bir yer edindikten sonra, bilgisayar korsanının komut dosyaları uzak sistemlerden yararlanacak ve onlara kötü amaçlı komut dosyaları ve kripto madenciliği bulaştıracaktır.

Bu saldırı sırasında taranan bilinen güvenlik açıkları şunları içerir:

  • SSH zayıf şifreler
  • Oracle Fusion Middleware’in Oracle WebLogic Server ürünündeki güvenlik açığı (CVE-2020-14882)
  • Yetkisiz erişim veya zayıf parolaları yeniden dağıtın
  • PostgreSQL yetkisiz erişim veya zayıf parola
  • SQLServer zayıf parola
  • MongoDB yetkisiz erişim veya zayıf parola
  • Dosya aktarım protokolü (FTP) zayıf parola

CSP bombardıman altında

Huawei Cloud nispeten yeni bir hizmet ancak Çinli teknoloji devi şimdiden üç milyondan fazla müşteriye hizmet verdiğini iddia ediyor. TrendMicro, Huawei’yi kampanya hakkında bilgilendirdi, ancak henüz bir onay almadılar.

Bulut sunucularınızı dağıtsanız da, güvenlik açığı değerlendirmeleri ve kötü amaçlı yazılım taramaları çalıştırmanın bu saldırıya karşı korunmak için yeterli olmayabileceğini unutmayın. CSP’nizin güvenlik modelini değerlendirmeniz ve yaklaşımınızı daha fazla korumayla tamamlayacak şekilde ayarlamanız gerekir.

Bu bulut hedeflemeli kripto madencileri yükselişte Yılın başından beri ve kripto değerleri yükseldiği sürece, aktörler onları daha güçlü ve tespit edilmesi daha zor.


Source link

Başa dön tuşu

Reklam Engelleyici Algılandı

Lütfen reklam engelleyiciyi devre dışı bırakarak bizi desteklemeyi düşünün