Autom Malware

Autom je název probíhající kampaně na těžbu kryptoměn, která byla poprvé zjištěna již v roce 2019. Od té doby bylo hlášeno celkem 84 útoků na servery honeypot výzkumníků, z nichž čtyři se odehrály v roce 2021. Tyto útoky na těžbu kryptoměn se neočekávají. v příštím roce zpomalit. Ve skutečnosti je to spíše naopak. Experti uvádějí, že útočníci stojící za kampaní Autom vyvíjejí své metody, díky čemuž jsou malwarové hrozby schopné uniknout obranným mechanismům a létat pod radarem antivirových skenovacích nástrojů.

Počáteční útoky této kampaně zahrnovaly provedení hrozivého příkazu, jakmile uživatel spustí vanilkový obrázek s názvem „alpine:latest“. Výsledkem této akce byl skript shellu s názvem "autom.sh." stahování do zařízení. Tato taktika je stále úspěšná, protože většina organizací důvěřuje oficiálním vanilkovým obrázkům a umožňuje jejich použití. Zatímcoohrožující příkaz přidaný do poškozeného vanilkového obrazu se v průběhu času téměř nezměnil, výzkumníci malwaru identifikovali rozdíl v serveru, ze kterého se stahuje skript shellu.

Podle zpráv se útočná sekvence stále skládá ze skriptu autom.sh, který umožňuje vytvoření nového uživatelského účtu s názvem „akay“. Poté jsou oprávnění účtu upgradována na uživatele root, což umožňuje útočníkům spouštět libovolné příkazy na infikovaném počítači a případně využívat dostupné zdroje k těžbě kryptoměny.

Nedávno přidaná nová funkce se týká schopnosti zůstat neviditelný pro detekci – theohrožující skripty mohou nyní deaktivovat bezpečnostní mechanismy načtením zatemněného těžebního shellu. Tento konkrétní skript se vyhýbá bezpečnostním nástrojům, protože je pětkrát zakódován v Base64.

Spolu s již známými zranitelnostmi, které kyberzločinci obvykle využívají k provádění útoků na těžbu kryptoměn, byly v posledních týdnech bezpečnostní chyby v protokolovací knihovně Log4j zneužity k provedení schématu zvaného crypto-jacking, který také zahrnuje únosy strojů za účelem těžby. kryptoměny. Navíc byly zneužity některé nově objevené zranitelnosti v Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers a VMware vCenter. Ve stejnou dobu také oznámil výrobce zařízení pro síťové úložiště (NAS), QNAPnedávno byl objeven malware pro těžbu kryptoměn, který by mohl zabírat přibližně 50 % celkového využití CPU.