CoinStomp البرامج الضارة
CoinStomp هي عائلة برامج ضارة جديدة يبدو أنها مصممة لإصابة الخدمات السحابية ثم استخدام مواردها للتعدين من أجل العملات المشفرة. أصبحت هذه الهجمات تُعرف باسم cryptojacking. تم الكشف عن تفاصيل حول تهديد البرامج الضارة هذا للجمهور في تقرير صادر عن Cado Security.
وفقًا للنتائج التي توصلوا إليها ، يتكون CoinStomp من نصوص برمجية تحاول استغلال مثيلات الكمبيوتر السحابية التي تنتمي إلى مختلف موفري الخدمات السحابيةإلى حد كبير. حتى الآن ، كانت معظم أهداف CoinStomp عبارة عن موفري خدمة السحابة الموجودين في آسيا. وجد الباحثون إشارة إلى عامل تهديد cryptojacking الذي تم تعقبه على أنه Xanthe في عنوان URL غير صالح للحمولة. ومع ذلك ، فإن هذه الحقيقة وحدها لا تكفي لدعم عزو التهديد بثقة عالية إلى مجموعة مجرمي الإنترنت. علاوة على ذلك ، ربما تكون قد تركها الجناة الحقيقيون كمحاولة من خلال الباحثين الأمنيين.
تهديد القدرات
تم تجهيز CoinStomp بالعديد من تقنيات مكافحة الكشف. يدور أبرزها حول "دس الوقت" ، وهي طريقة لمعالجة الطوابع الزمنية عبر أمر Linux touch. القيام بذلك يسمح للمهاجمين بإخفاء الحالات التي تم فيها استخدام أدوات chmod و chattr.
بالإضافة إلى ذلك ، سيحاول التهديد أيضًا إضعاف خادم Linux المستهدف عن طريق إيقاف سياسات التشفير الخاصة به. الغرض من هذه السياسات هو حماية النظام من تهديدات البرامج الضارة التي يتم إسقاطها وتنفيذها عليه. لتسهيل الإجراءات التدخلية لبرامج CoinStomp الضارة ، أضاف مطوروها روتينًا يستخدم أمر القتل لتعطيل سياسات التشفير على مستوى النظام.
يفتح CoinStomp غلافًا عكسيًا لإنشاء اتصال مع خادم الأوامر والتحكم (C2 ، C&C). إذا نجح المهاجمون ، فيمكنهم بعد ذلك استخدام التهديد لتقديم حمولات تهديد إضافية ، بما في ذلك ثنائيات لأبواب خلفية أكثر قوة وإصدارًا مخصصًا من XMRig ، وهو برنامج تعدين تشفير Monero. سيتم تشغيل الحمولات المرحلة المقبلة مع خدمات سيستم دي على نطاق المنظومة وسيتم إعطاء امتيازات الجذر.
