코인스톰프 악성코드

CoinStomp는 클라우드 서비스를 감염시킨 다음 해당 리소스를 사용하여 암호화폐를 채굴하도록 설계된 것으로 보이는 새로운 맬웨어 제품군입니다. 이러한 공격은 크립토재킹으로 알려지게 되었습니다. 이 특정 맬웨어 위협에 대한 세부 정보는 Cado Security의 보고서에서 대중에게 공개되었습니다.

그들의 연구 결과에 따르면 CoinStomp는 다양한 클라우드 서비스 제공업체에 속한 클라우드 컴퓨터 인스턴스를 악용하려는 셸 스크립트로 구성되어 있습니다.크게. 지금까지 대부분의 CoinStomp 대상은 아시아에 위치한 클라우드 제공업체였습니다. 연구원들은 존재하지 않는 페이로드 URL에서 Xanthe로 추적된 크립토재킹 위협 행위자에 대한 참조를 발견했습니다. 그러나 이 사실만으로는 위협을 사이버 범죄 그룹에 확신을 갖고 돌리는 데 충분하지 않습니다. 더군다나 실제 범인은 보안 연구원을 통하지 않으려고 방치했을 수도 있다.

위협적인 능력

CoinStomp에는 여러 가지 탐지 방지 기술이 장착되어 있습니다. 가장 눈에 띄는 것은 Linux 터치 명령을 통해 타임스탬프를 조작하는 방법인 '타임 스톰핑'을 중심으로 진행됩니다. 이렇게 하면 공격자가 chmod 및 chattr 유틸리티가 사용된 인스턴스를 숨길 수 있습니다.

또한 위협은 암호화 정책을 중지하여 대상 Linux 서버를 약화시키려고 시도합니다. 이러한 정책의 목적은 맬웨어 위협이 시스템에서 삭제 및 실행되지 않도록 시스템을 보호하는 것입니다. CoinStomp 맬웨어의 침입 활동을 용이하게 하기 위해 제작자는 kill 명령을 사용하여 시스템 전체의 암호화 정책을 비활성화하는 루틴을 추가했습니다.

CoinStomp는 명령 및 제어(C2, C&C) 서버와의 통신을 설정하기 위해 리버스 셸을 엽니다. 성공하면 공격자는 위협을 사용하여 더 강력한 백도어를 위한 바이너리와 Monero 암호화 마이닝 소프트웨어 인 XMRig의 사용자 지정 버전을 포함하여 위협적인 추가 페이로드를 전달할 수 있습니다. 다음 단계의 페이로드는 시스템 전체 systemd 서비스로 실행되며, 루트 권한이 주어집니다.