CoinStomp haittaohjelma
CoinStomp on uusi haittaohjelmaperhe, joka näyttää olevan suunniteltu saastuttamaan pilvipalvelut ja sitten käyttämään niiden resursseja kryptovaluutan louhimiseen. Näitä hyökkäyksiä on alettu kutsua kryptojackingiksi. Yksityiskohdat tästä tietystä haittaohjelmauhkasta paljastettiin yleisölle Cado Securityn raportissa.
Heidän havaintojensa mukaan CoinStomp koostuu shell-skripteistä, jotka yrittävät hyödyntää eri pilvipalveluntarjoajille kuuluvia pilvitietokoneesiintymiä.enimmäkseen. Tähän mennessä useimmat CoinStompin kohteet ovat olleet Aasiassa sijaitsevat pilvipalveluntarjoajat. Tutkijat löysivät viittauksen Xanthena jäljitettyyn kryptojacking-uhan toimijaan lakkautetusta hyötykuorman URL-osoitteesta. Tämä tosiasia ei kuitenkaan yksin riitä tukemaan uhan luottamuksellista liittämistä kyberrikollisryhmälle. Lisäksi todelliset syylliset ovat saattaneet jättää sen yritykseksi saada tietoturvatutkijat pois.
Uhkaavat ominaisuudet
CoinStomp on varustettu useilla havainnoinnin estotekniikoilla. Näkyvin niistä pyörii "time-stomping" -menetelmän ympärillä, menetelmällä aikaleimojen manipuloimiseksi Linuxin kosketuskomennon avulla. Näin hyökkääjät voivat piilottaa tapaukset, joissa chmod- ja chattr- apuohjelmia käytettiin.
Lisäksi uhka yrittää heikentää kohteena olevaa Linux-palvelinta pysäyttämällä sen salauskäytännöt. Näiden käytäntöjen tarkoituksena on suojata järjestelmää haittaohjelmauhilta, jotka pudotetaan ja suoritetaan siinä. Helpottaakseen CoinStomp-haittaohjelman tunkeilevia toimia sen luojat ovat lisänneet rutiinin, joka käyttää kill-komentoa järjestelmän laajuisten salauskäytäntöjen poistamiseen.
CoinStomp avaa käänteisen kuoren muodostaakseen yhteyden Command-and-Control (C2, C&C) -palvelimensa kanssa. Jos se onnistuu, hyökkääjät voivat käyttää uhkaa tuodakseen lisää uhkaavia hyötykuormia, mukaan lukien binaarit tehokkaampia takaovia varten ja räätälöity versio XMRigistä, Monero-salauksen louhintaohjelmistosta. Seuraavan vaiheen hyötykuormia ajetaan kuin koko järjestelmän systemd palvelut ja annetaan pääkäyttäjän oikeudet.
