Threat Database Botnets Tsunami Botnet

Tsunami Botnet

Et nyligt etableret botnet ved navn Tsunami har været under hurtig udvikling, hvor infosec-forskere observerede en betydelig stigning i dets evner inden for kort tid. Da botnets aktivitet først blev opdaget, indsatte den en nyttelast bestående af en XMR Monero crypto-minearter-variant. Som en kompromisvektor udnyttede den forkert konfigurerede Docker API-systemer. Begge aspekter af botnet er blevet ændret markant i den nyeste version.

Hackerne, der var ansvarlige for at frigøre botnet, skiftede angrebsvektoren, og nu formerer Tsunami sig gennem en WebLogic-sårbarhed. Især udnytter den CVE-2020-14882-sårbarheden, som fik en sværhedsgrad på 9,8 ud af 10. I oktober 2020 offentliggjorde Oracle en patch, der adresserede problemet, men mange mål er ikke blevet patched og forbliver udsat for angreb. Antallet af malware-nyttelast leveret af botnet fordobles med inkluderingen af Tsunami-binære filer ud over de tidligere observerede XMR-crypto-miner-varianter. Til lateral formering inden for det kompromitterede netværk bruger den SecureShell ved at tælle ssh-brugere, nøgler, værter og porte. Infosec-forskere, der analyserede den underliggende kode for malware, opdagede to sektioner af ubrugt kode. Den ene er dedikeret til at udnytte Redis, mens den anden kan forsøge SecyreShell brute-force. En anden funktion, der tilføjes malware, er muligheden for at afslutte specifikke sikkerhedsløsninger og overvågningsværktøjer. Det kan også afslutte kørende processer for alle potentielt konkurrerende minedriftværktøjer, der allerede kunne have været anvendt på det kompromitterede mål af andre trusselaktører.

Under sin flertrins angrebskæde leverer botnet flere .xms shell-scripts og et endnu større antal Python-scripts. Generelt har shell-scripts til opgave at forberede miljøet til levering af malware-nyttelastene. De udfører procestermineringsrutiner, afinstallerer visse slutpunktsforsvarsløsninger og udfører SSH lateral bevægelse ved at forsøge at inficere værter, som serveren tidligere har været i kontakt med. .Xms-scriptsne etablerer også trusselens vedholdenhedsmekanisme ved at udnytte cronjobs, som downloader og udfører shell-scripts og python-scripts med forudbestemte intervaller - 1 minut, 2 minutter, 3 minutter, 30 minutter og hver time. /etc/init.d/down overskrives også for at sikre vedholdenhed ved hver systemstart.

På den anden side er Python-scripts de køretøjer, der implementerer botnetets malware-nyttelast. Med fire scripts i alt kan de opdeles i to forskellige grupper. Den første gruppe, der bliver implementeret, er den til XMRig Monero crypto-minearbejder. Det etablerer også sin egen vedholdenhedsmekanisme gennem cron inden den anden scriptgruppe startes. På dette stadium hentes og initialiseres Tsunami-binærerne på målet.

Den hurtige udvikling af botnet kombineret med opdagelsen af ubrugte funktionaliteter, der til enhver tid kunne aktiveres, viser cyberkriminelle evne til hurtigt at tilpasse og ændre deres malware-værktøjer.

Trending

Mest sete

Indlæser...