Threat Database Malware Automatisk malware

Automatisk malware

Autom er navnet på en igangværende krypto-minekampagne, først opdaget tilbage i 2019. Siden da er der rapporteret om i alt 84 angreb mod forskernes honeypot-servere, heraf fire i 2021. Disse krypto-mine-angreb forventes ikke at bremse i det kommende år. Faktisk er det snarere det modsatte. Eksperter rapporterer, at angriberne bag Autom-kampagnen udvikler deres metoder, hvilket gør malware-trusler mere i stand til at unddrage sig forsvarsmekanismer og flyve under radaren af antivirus-scanningsværktøjer.

De første angreb af denne kampagne involverede at udføre en truende kommando, når en bruger kører et vaniljebillede med navnet "alpine:latest." Denne handling resulterede i et shell-script med navnet "autom.sh." bliver downloadet på enheden. Denne taktik bliver ved med at være succesfuld, da de fleste organisationer stoler på officielle vaniljebilleder og tillader deres brug. Menstruende kommando tilføjet til det korrupte vaniljebillede er knap blevet ændret over tid, malware-forskere har identificeret en forskel på den server, hvorfra shell-scriptet bliver downloadet.

Ifølge rapporter består angrebssekvensen stadig af autom.sh-scriptet, som gør det muligt at oprette en ny brugerkonto med navnet "akay." Derefter opgraderes kontoens privilegier til en root-bruger, hvilket giver angriberne mulighed for at køre vilkårlige kommandoer på den inficerede maskine og til sidst udnytte de tilgængelige ressourcer til at mine kryptovaluta.

En ny funktion, der er tilføjet for nylig, vedrører evnen til at forblive usynlig for opdagelse - dentruende scripts kan nu deaktivere sikkerhedsmekanismer ved at hente et sløret mining shell script. Dette særlige script undgår sikkerhedsværktøjer, da det er Base64-kodet fem gange.

Sammen med de allerede kendte sårbarheder, som cyberkriminelle normalt udnytter til at udføre crypto-mining-angreb, er sikkerhedsfejl i Log4j-logningsbiblioteket i de seneste uger blevet misbrugt til at udføre en ordning kaldet crypto-jacking, som også involverer kapring af maskiner med det formål at minedrift. kryptovalutaer. Derudover er nogle nyligt opdagede sårbarheder i Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers og VMware vCenter blevet misbrugt. Samtidig har den netværkstilsluttede lager (NAS) apparatproducent QNAP også annonceretfor nylig opdagelsen af en cryptocurrency-mining-malware, der kunne optage omkring 50 % af det samlede CPU-forbrug.

Relaterede indlæg

Trending

Mest sete

Indlæser...