Исследователи Elastic раскрывают любопытную криптоджекинговую операцию.
Недавно эксперты из Elastic Security Labs Для просмотра ссылки Войдиили Зарегистрируйся сложную вредоносную кампанию REF6138, направленную на уязвимые серверы Linux . Хакеры начали свою зловредную активность в марте 2024 года, используя уязвимость на веб-сервере Apache2. После получения доступа злоумышленники развернули целый набор инструментов и вредоносного ПО для закрепления присутствия на скомпрометированном хосте и дальнейшего расширения контроля.
Атакующие использовали различные вредоносные программы, включая KAIJI, известный своими DDoS-способностями, и RUDEDEVIL, представляющий собой криптомайнер, который эксплуатирует ресурсы системы для своих целей.
В ходе расследования специалисты обнаружили возможную схему майнинга Bitcoin и XMR, основанную на использовании API азартных игр. Это предполагает, что злоумышленники могли использовать скомпрометированные хосты для отмывания денег. Кроме того, исследователи получили доступ к файловому серверу, который ежедневно обновлялся свежими образцами KAIJI, свидетельствуя об активной разработке и модификации вредоносного ПО.
Для скрытой коммуникации злоумышленники использовали Telegram-ботов, поддельные процессы ядра и инструмент планирования задач cron. Атака началась с получения удалённого доступа к Apache2 и загрузки скрипта под названием «00.sh». Этот скрипт удалял системные логи, убирал конкурирующие майнинговые процессы и устанавливал дополнительные вредоносные файлы. Для дальнейшего управления скомпрометированным сервером злоумышленники использовали сервер с файловым хранилищем, содержащий различные образцы вредоносного ПО для разных архитектур.
Одним из основных компонентов кампании стал RUDEDEVIL, который отличался специфическим сообщением от автора внутри своего кода, а также выполнял ряд задач, таких как установка в систему, использование сокетов для связи и контроль сетевой активности. Кроме того, анализ этого вредоносного ПО выявил использование XOR-шифрования для маскировки данных.
Касательно специфического сообщения, в коде RUDEDEVIL специалисты выявили следующие строки, адресованные экспертам по безопасности: «Привет, дружище. Я видел, что уже несколько организаций за последнее время сообщили о моём трояне. Пожалуйста, не мешайте мне. Я просто хочу купить машину. Я не хочу никому вредить или делать что-то незаконное. Если несложно, закиньте мне немного крипты следующий XMR-кошелёк...».
Это сообщение может быть попыткой вызвать сочувствие или отвлечь внимание исследователей, однако, в любом случае, оно является уникальной фишкой RUDEDEVIL и подогревает определённый интерес к его автору.
Возвращаясь к разбору вредоносной кампании, злоумышленники также использовали инструменты для мониторинга процессов и сетевой активности. Они могли контролировать нагрузку процессора и отправлять информацию о системе на управляющие серверы через защищённые каналы.
Другим инструментом злоумышленников стал GSOCKET — утилита для зашифрованной связи между системами, скрывающая свою активность за системными процессами ядра. В ходе атаки также использовалась уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (pwnkit) для получения привилегий root.
Как можно заметить, киберпреступники становятся всё более изобретательными, комбинируя различные методы для получения контроля над системами и максимизации своей прибыли. Их подходы показывают, что они готовы идти на всё ради своей выгоды, даже апеллируя к сочувствию исследователей. В такой динамично развивающейся сфере киберугроз своевременное обнаружение и защита становятся ключевыми факторами, а простое понимание риска может сыграть решающую роль в предотвращении серьёзных последствий.
Недавно эксперты из Elastic Security Labs Для просмотра ссылки Войди
Атакующие использовали различные вредоносные программы, включая KAIJI, известный своими DDoS-способностями, и RUDEDEVIL, представляющий собой криптомайнер, который эксплуатирует ресурсы системы для своих целей.
В ходе расследования специалисты обнаружили возможную схему майнинга Bitcoin и XMR, основанную на использовании API азартных игр. Это предполагает, что злоумышленники могли использовать скомпрометированные хосты для отмывания денег. Кроме того, исследователи получили доступ к файловому серверу, который ежедневно обновлялся свежими образцами KAIJI, свидетельствуя об активной разработке и модификации вредоносного ПО.
Для скрытой коммуникации злоумышленники использовали Telegram-ботов, поддельные процессы ядра и инструмент планирования задач cron. Атака началась с получения удалённого доступа к Apache2 и загрузки скрипта под названием «00.sh». Этот скрипт удалял системные логи, убирал конкурирующие майнинговые процессы и устанавливал дополнительные вредоносные файлы. Для дальнейшего управления скомпрометированным сервером злоумышленники использовали сервер с файловым хранилищем, содержащий различные образцы вредоносного ПО для разных архитектур.
Одним из основных компонентов кампании стал RUDEDEVIL, который отличался специфическим сообщением от автора внутри своего кода, а также выполнял ряд задач, таких как установка в систему, использование сокетов для связи и контроль сетевой активности. Кроме того, анализ этого вредоносного ПО выявил использование XOR-шифрования для маскировки данных.
Касательно специфического сообщения, в коде RUDEDEVIL специалисты выявили следующие строки, адресованные экспертам по безопасности: «Привет, дружище. Я видел, что уже несколько организаций за последнее время сообщили о моём трояне. Пожалуйста, не мешайте мне. Я просто хочу купить машину. Я не хочу никому вредить или делать что-то незаконное. Если несложно, закиньте мне немного крипты следующий XMR-кошелёк...».
Это сообщение может быть попыткой вызвать сочувствие или отвлечь внимание исследователей, однако, в любом случае, оно является уникальной фишкой RUDEDEVIL и подогревает определённый интерес к его автору.
Возвращаясь к разбору вредоносной кампании, злоумышленники также использовали инструменты для мониторинга процессов и сетевой активности. Они могли контролировать нагрузку процессора и отправлять информацию о системе на управляющие серверы через защищённые каналы.
Другим инструментом злоумышленников стал GSOCKET — утилита для зашифрованной связи между системами, скрывающая свою активность за системными процессами ядра. В ходе атаки также использовалась уязвимость Для просмотра ссылки Войди
Как можно заметить, киберпреступники становятся всё более изобретательными, комбинируя различные методы для получения контроля над системами и максимизации своей прибыли. Их подходы показывают, что они готовы идти на всё ради своей выгоды, даже апеллируя к сочувствию исследователей. В такой динамично развивающейся сфере киберугроз своевременное обнаружение и защита становятся ключевыми факторами, а простое понимание риска может сыграть решающую роль в предотвращении серьёзных последствий.
- Источник новости
- www.securitylab.ru