오토m 악성코드

Autom은 진행 중인 암호화폐 채굴 캠페인의 이름으로 2019년에 처음 탐지되었습니다. 그 이후로 연구원의 허니팟 서버에 대한 총 84건의 공격이 보고되었으며 이 중 4건은 2021년에 발생했습니다. 이러한 암호화폐 채굴 공격은 예상되지 않습니다 내년에는 속도를 늦추기 위해. 실제로는 오히려 그 반대입니다. 전문가들은 Autom 캠페인의 배후에 있는 공격자들이 방법을 발전시켜 맬웨어 위협이 방어 메커니즘을 회피하고 안티바이러스 스캐닝 도구의 레이더 아래로 날아가도록 만들고 있다고 보고합니다.

이 캠페인의 초기 공격은 사용자가 "alpine:latest"라는 이름의 바닐라 이미지를 실행하면 위협적인 명령을 실행하는 것과 관련되었습니다. 그 결과 "autom.sh"라는 쉘 스크립트가 생성되었습니다. 기기에 다운로드 중입니다. 대부분의 조직이 공식 바닐라 이미지를 신뢰하고 사용을 허용하기 때문에 이 전술은 계속 성공적입니다. 동안손상된 바닐라 이미지에 추가된 위협적인 명령은 시간이 지남에 따라 거의 변경되지 않았으며, 멀웨어 연구원은 셸 스크립트가 다운로드되는 서버에서 차이점을 식별했습니다.

보고서에 따르면 공격 시퀀스는 여전히 "akay"라는 새 사용자 계정을 생성할 수 있는 autom.sh 스크립트로 구성되어 있습니다. 그런 다음 계정의 권한이 루트 사용자로 업그레이드되어 공격자가 감염된 컴퓨터에서 임의의 명령을 실행하고 결국에는 사용 가능한 리소스를 이용하여 암호화폐를 채굴할 수 있습니다.

최근에 추가된 새로운 기능은 탐지되지 않은 상태로 남아 있는 기능과 관련이 있습니다.위협적인 스크립트는 이제 난독화된 마이닝 셸 스크립트를 검색하여 보안 메커니즘을 비활성화할 수 있습니다. 이 특정 스크립트는 Base64로 5번 인코딩되기 때문에 보안 도구를 피합니다.

사이버 범죄자가 일반적으로 크립토 마이닝 공격을 수행하기 위해 악용하는 이미 알려진 취약점과 함께 최근 몇 주 동안 Log4j 로깅 라이브러리의 보안 결함이 크립토재킹이라는 체계를 실행하는 데 악용되었습니다. 암호화폐. 또한 Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Server 및 VMware vCenter에서 새로 발견된 일부 취약점이 오용되었습니다. 이와 동시에 NAS(Network-Attached Storage) 어플라이언스 제조업체인 QNAP도 발표했습니다.최근 전체 CPU 사용량의 약 50%를 차지할 수 있는 암호화폐 채굴 악성코드가 발견되었습니다.