Autom Haittaohjelma

Autom on meneillään olevan kryptolouhintakampanjan nimi, joka havaittiin ensimmäisen kerran jo vuonna 2019. Sen jälkeen tutkijoiden honeypot-palvelimia vastaan on raportoitu yhteensä 84 hyökkäystä, joista neljä tapahtui vuonna 2021. Näitä kryptolouhintahyökkäyksiä ei odoteta hidastua ensi vuonna. Itse asiassa asia on pikemminkin päinvastoin. Asiantuntijat raportoivat, että Autom-kampanjan takana olevat hyökkääjät kehittävät menetelmiään, mikä tekee haittaohjelmauhista kykenevimpiä kiertämään puolustusmekanismeja ja lentämään virustentorjuntatyökalujen tutkan alle.

Tämän kampanjan ensimmäiset hyökkäykset sisälsivät uhkaavan komennon suorittamisen, kun käyttäjä suoritti vaniljakuvan nimeltä "alpine:latest". Tämä toiminto johti shell-skriptiin nimeltä "autom.sh". ladataan laitteelle. Tämä taktiikka menestyy jatkuvasti, sillä useimmat organisaatiot luottavat virallisiin vaniljakuviin ja sallivat niiden käytön. Samalla kunKorruptoituneeseen vaniljakuvaan lisätty uhkaava komento on tuskin muuttunut ajan myötä, haittaohjelmatutkijat ovat havainneet eron palvelimessa, josta komentotulkkikomento ladataan.

Raporttien mukaan hyökkäyssekvenssi koostuu edelleen autom.sh-skriptistä, joka mahdollistaa uuden "akay"-nimisen käyttäjätilin luomisen. Sitten tilin oikeudet päivitetään pääkäyttäjäksi, jolloin hyökkääjät voivat suorittaa mielivaltaisia komentoja tartunnan saaneella koneella ja lopulta hyödyntää käytettävissä olevia resursseja kryptovaluutan louhimiseen.

Äskettäin lisätty uusi ominaisuus koskee kykyä pysyä näkymättömänä havaitsemiseksiuhkaavat komentosarjat voivat nyt poistaa suojausmekanismit käytöstä hakemalla hämärtyneen kaivoskomentosarjan. Tämä skripti välttää suojaustyökalut, koska se on Base64-koodattu viisi kertaa.

Yhdessä jo tunnettujen haavoittuvuuksien kanssa, joita kyberrikolliset yleensä käyttävät hyväkseen salauslouhintahyökkäyksiä varten, Log4j:n lokikirjaston tietoturvapuutteita on viime viikkoina käytetty väärin crypto-jacking-nimisen järjestelmän toteuttamiseksi, joka sisältää myös koneiden kaappauksen louhintatarkoituksessa. kryptovaluutat. Lisäksi joitain äskettäin löydettyjä haavoittuvuuksia Atlassian Confluencessa, F5 BIG-IP:ssä, Oracle WebLogic Serversissä ja VMware vCenterissä on käytetty väärin. Samaan aikaan verkkoon liitettyä tallennustilaa (NAS) valmistava QNAP on myös ilmoittanutäskettäin löydettiin kryptovaluuttoja louhiva haittaohjelma, joka voisi käyttää noin 50 % prosessorin kokonaiskäytöstä.