Новости Вредоносное майнинговое ПО для Linux теперь может избежать обнаружения

Тема в разделе "Новости", создана пользователем Mr. Pickles, 5 фев 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    919
    Симпатии:
    244
    Исследователи компании AT&T Alien Labs, работающей в сфере безопасности, обнаружили, что группа киберпреступников, называющая себя TeamTNT, усовершенствовала свою программу с открытым исходным кодом, предназначенную для майнинга криптовалюты и работающую под Linux, добавив в неё возможности ухода от обнаружения.

    TeamTNT в основном известна тем, что занимается поиском и взломом присутствующих в интернете открытых серверов Docker с целью несанкционированного майнинга Monero (XMR).

    Тем не менее, группа изменила тактику, обновив своё вредоносное ПО для криптоджекинга Linux под названием Black-T, которое также собирает учётные данные пользователей с заражённых серверов.

    Группа TeamTNT вновь обновила своё вредоносное ПО, чтобы избежать его обнаружения после заражения системы и развертывания вредоносной полезной нагрузки для майнинга на устройствах Linux.

    Скрываясь на виду

    Как указал Офер Каспи, исследователь в области безопасности из компании AT&T Alien Labs, в опубликованном сегодня отчете: «Группа использует новый инструмент, позволяющий уходить от обнаружения, который был скопирован из открытых репозиториев».

    Этот инструмент известен как libprocesshider и у него открытый исходный код, который можно найти на Github и использовать, чтобы скрыть любой процесс Linux с помощью предзагрузчика ld.

    «Задача нового инструмента состоит в том, чтобы скрыть вредоносный процесс от программ обработки информации, таких как ps и lsof, то есть, эффективно выполнять функции техники обхода защиты», — добавил Каспи.

    Инструмент для ухода от обнаружения развёртывается в заражённых системах в виде bash-скрипта в кодировке base64, встроенного в TeamTNT ircbot или двоичный код майнера.

    1.JPG

    Скрипт сокрытия расшифрованного процесса (AT&T Alien Labs )

    Как только скрипт будет запущен на взломанной машине, он начнёт выполнения ряда задач, которые позволят ему:
    • изменять конфигурацию DNS сети;
    • обеспечивать устойчивость выполнения через systemd;
    • сбросить и активировать новый инструмент как службу;
    • загрузить последнюю конфигурацию IRC-бота;
    • удалить свидетельства своих действий, чтобы потенциально усложнить работу защиты.
    После выполнения всех шагов вредоносная программа Black-T так же автоматически уничтожит все следы вредоносной деятельности, удалив всю bash-историю системы.

    «За счёт использования libprocesshider TeamTNT вновь удалось расширить свои возможности на базе уже имеющихся инструментов с открытым исходным кодом, — сказал в заключении Каспи. — Хотя новая функция libprocesshider заключается в том, чтобы уйти от обнаружения и других основных функций, он также выступает в качестве индикатора, который учитывается при охоте за вредоносной деятельностью на уровне хоста».

    Обновления ботнета

    Ботнет для майнинга криптовалюты был впервые был замечен в мае 2020 года компанией MalwareHunterTeam, а затем проанализирован сотрудниками Trend Micro, которые обнаружили его сродсвто с программами, нацеленными на Docker.

    После того, как вредоносная программа заражает неправильно конфиурированный сервер, она самостоятельно развёртывается в новых контейнерах и сбрасывает вредоносный двоичный файл полезной нагрузки, который начинает майнинг криптовалюты Monero (XMR).

    В августе компанией Cado Security была обнаружена новая функция червя TeamTNT, отвечающая за сбор учётных данных AWS, что делает его первым ботнетом, ориентированным на криптоджекинг и использующим такую возможность.

    Месяц спустя вредоносная программа была замечена компанией Intezer при развертывании легитимного инструмента с открытым исходным кодом Weave Scope. Программа пыталась взять под контроль Docker, Kubernetes, Distributed Cloud Operating System (DC/OS) жертвы или облачную инфраструктуру Elastic Compute Cloud (ECS) AWS.

    Ранее в этом месяце, группа TeamTNT начала использовать криптор и загрузчик памяти с открытым исходным кодом под названием Ezur, чтобы сделать своё вредоносное ПО практически невидимым для антивирусных программ.

    ---

    Источник: Linux malware uses open-source tool to evade detection

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.