Automatisk skadelig programvare

Autom er navnet på en pågående kryptogruvekampanje, først oppdaget tilbake i 2019. Siden den gang har totalt 84 angrep mot forskernes honeypot-servere blitt rapportert, fire av disse skjer i 2021. Disse kryptogruveangrepene er ikke forventet. å bremse ned det kommende året. Faktisk er det snarere det motsatte. Eksperter rapporterer at angriperne bak Autom-kampanjen utvikler metodene sine, noe som gjør trusler mot skadelig programvare mer i stand til å unngå forsvarsmekanismer og flyr under radaren til antivirus-skanneverktøy.

De første angrepene av denne kampanjen innebar å utføre en truende kommando når en bruker kjører et vaniljebilde med navnet "alpine:latest." Denne handlingen resulterte i et skallskript kalt "autom.sh." blir lastet ned på enheten. Denne taktikken fortsetter å være vellykket, ettersom de fleste organisasjoner stoler på offisielle vaniljebilder og tillater bruk av dem. Menstruende kommando lagt til det ødelagte vaniljebildet har knapt blitt endret over tid, skadevareforskere har identifisert en forskjell i serveren som shell-skriptet lastes ned fra.

Ifølge rapporter består angrepssekvensen fortsatt av autom.sh-skriptet, som gjør det mulig å opprette en ny brukerkonto kalt "akay." Deretter oppgraderes kontoens privilegier til en root-bruker, slik at angriperne kan kjøre vilkårlige kommandoer på den infiserte maskinen og til slutt utnytte de tilgjengelige ressursene til å utvinne kryptovaluta.

En ny funksjon som nylig ble lagt til gjelder muligheten til å forbli usynlig for gjenkjenning – denTruende skript kan nå deaktivere sikkerhetsmekanismer ved å hente et skjult gruveskallskript. Dette bestemte skriptet unngår sikkerhetsverktøy, siden det er Base64-kodet fem ganger.

Sammen med de allerede kjente sårbarhetene som nettkriminelle vanligvis utnytter for å utføre kryptomining-angrep, har sikkerhetsfeil i Log4j-loggbiblioteket blitt misbrukt til å utføre en ordning kalt krypto-jacking, som også involverer kapring av maskiner med det formål å gruvedrift. kryptovalutaer. I tillegg har noen nylig oppdagede sårbarheter i Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers og VMware vCenter blitt misbrukt. Samtidig har også den nettverkstilkoblede lagringsenheten (NAS) QNAP annonsertnylig oppdagelsen av en malware for gruvedrift i kryptovaluta som kan oppta rundt 50 % av den totale CPU-bruken.