Написал один раз – работает везде.
Исследователи Sysdig Для просмотра ссылки Войди
PRoot — это утилита с открытым исходным кодом, которая позволяет пользователю настроить изолированную корневую файловую систему в Linux. В обнаруженных атаках хакер использует PRoot для развертывания вредоносной файловой системы на уже скомпрометированных системах, которые включают инструменты сетевого сканирования - «masscan» и Для просмотра ссылки Войди
Файловая система содержит все необходимое для атаки, аккуратно упакованное в сжатый Gzip tar-файл со всеми необходимыми зависимостями, загруженный из доверенных служб облачного хостинга, таких как DropBox.
Вредоносная гостевая файловая система Поскольку PRoot компилируется статически и не требует никаких зависимостей, злоумышленник просто загружает предварительно скомпилированный двоичный файл из GitLab и монтирует его в загруженной и извлеченной файловой системе. В большинстве случаев киберпреступники распаковывали файловую систему в «/tmp/Proot/», а затем активировали криптомайнер XMRig.
По словам исследователей, хакер может использовать PRoot для загрузки других полезных нагрузок помимо XMRig, что потенциально может нанести более серьезный ущерб взломанной системе. Наличие «masscan» в файловой системе вредоносного ПО указывает на то, что хакеры планируют взломать также и другие системы на взломанной машине.
Использование утилиты PRoot делает эти атаки независимыми от платформы и распространения, что делает их более эффективными и незаметными. Кроме того, предварительно настроенная файловая система PRoot позволяет киберпреступнику использовать набор инструментов во многих конфигурациях ОС без необходимости переноса своих вредоносных программ на целевую архитектуру или включения зависимостей и инструментов сборки.
Атаки с использованием PRoot позволяет злоумышленнику не думать об архитектуре или дистрибутиве цели, поскольку этот инструмент устраняет проблемы с совместимостью исполняемых файлов, настройкой среды и выполнением вредоносных программ. Такие атаки убирают необходимость настройки среды, и позволяют хакеру быстро масштабировать свои вредоносные кампании.
- Источник новости
- https://www.securitylab.ru/news/535141.php