Автоматичен злонамерен софтуер

Autom е името на текуща кампания за копаене на криптовалута, открита за първи път през 2019 г. Оттогава са докладвани общо 84 атаки срещу honeypot сървъри на изследователи, четири от които се случват през 2021 г. Тези атаки за копаене на криптовалута не се очакват да се забави през следващата година. Всъщност е по-скоро обратното. Експертите съобщават, че нападателите зад кампанията Autom развиват своите методи, правейки заплахите от зловреден софтуер по-способни да избягват защитните механизми и да летят под радара на антивирусните инструменти за сканиране.

Първоначалните атаки на тази кампания включваха изпълнение на заплашителна команда, след като потребителят стартира ванилово изображение с името „alpine:latest“. Това действие доведе до шел скрипт на име "autom.sh." се изтегля на устройството. Тази тактика продължава да бъде успешна, тъй като повечето организации се доверяват на официалните ванилови изображения и позволяват използването им. Докатозаплашващата команда, добавена към повреденото ванилово изображение, почти не е променена с течение на времето, изследователите на зловреден софтуер са установили разлика в сървъра, от който се изтегля скриптът на обвивката.

Според докладите последователността на атаката все още се състои от скрипт autom.sh, който позволява създаването на нов потребителски акаунт с име „akay“. След това привилегиите на акаунта се надграждат до root потребител, което позволява на нападателите да изпълняват произволни команди на заразената машина и в крайна сметка да използват наличните ресурси за копаене на криптовалута.

Нова функция, добавена наскоро, се отнася до възможността да останете невидими за откриване – theзаплашващите скриптове вече могат да деактивират механизмите за сигурност, като извличат обфуциран скрипт на обвивката за копаене. Този конкретен скрипт избягва инструменти за сигурност, тъй като е кодиран с Base64 пет пъти.

Наред с вече известните уязвимости, които киберпрестъпниците обикновено използват за извършване на атаки за копаене на криптовалута, през последните седмици бяха злоупотребявани пропуски в сигурността в библиотеката за регистриране на Log4j, за да се изпълни схема, наречена crypto-jacking, която също включва машини за отвличане с цел копаене. криптовалути. Освен това някои новооткрити уязвимости в Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers и VMware vCenter са били злоупотребени. В същото време производителят на устройства за мрежово съхранение (NAS) QNAP също обявинаскоро беше открит злонамерен софтуер за копаене на криптовалута, който може да заема около 50% от общото използване на процесора.