Automatische malware

Autom is de naam van een lopende crypto-mining-campagne, voor het eerst gedetecteerd in 2019. Sindsdien zijn in totaal 84 aanvallen op de honeypot-servers van onderzoekers gemeld, waarvan vier in 2021. Deze crypto-mining-aanvallen worden niet verwacht het komende jaar te vertragen. In feite is het eerder het tegenovergestelde. Experts melden dat de aanvallers achter de Autom-campagne hun methoden aan het ontwikkelen zijn, waardoor malwarebedreigingen beter in staat zijn verdedigingsmechanismen te omzeilen en onder de radar van antivirusscantools te vliegen.

De eerste aanvallen van deze campagne omvatten het uitvoeren van een dreigend commando, zodra een gebruiker een vanille-afbeelding met de naam "alpine:latest" uitvoert. Die actie resulteerde in een shellscript met de naam "autom.sh." wordt gedownload op het apparaat. Deze tactiek blijft succesvol, aangezien de meeste organisaties officiële vanille-afbeeldingen vertrouwen en het gebruik ervan toestaan. Terwijl deHet bedreigende commando dat aan de beschadigde vanille-afbeelding is toegevoegd, is in de loop van de tijd nauwelijks gewijzigd, malwareonderzoekers hebben een verschil vastgesteld in de server waarvan het shellscript wordt gedownload.

Volgens rapporten bestaat de aanvalsreeks nog steeds uit het autom.sh-script, waarmee een nieuw gebruikersaccount met de naam 'akay' kan worden gemaakt. Vervolgens worden de privileges van het account geüpgraded naar een rootgebruiker, waardoor de aanvallers willekeurige opdrachten op de geïnfecteerde machine kunnen uitvoeren en uiteindelijk de beschikbare bronnen kunnen misbruiken om cryptovaluta te minen.

Een nieuwe functie die onlangs is toegevoegd, betreft de mogelijkheid om onzichtbaar te blijven voor detectie – debedreigende scripts kunnen nu beveiligingsmechanismen uitschakelen door een verduisterd mijnshell-script op te halen. Dit specifieke script vermijdt beveiligingstools, omdat het vijf keer Base64-gecodeerd is.

Naast de al bekende kwetsbaarheden die cybercriminelen gewoonlijk misbruiken voor het uitvoeren van crypto-mining-aanvallen, zijn de afgelopen weken beveiligingsfouten in de Log4j-logboekbibliotheek misbruikt om een schema uit te voeren dat crypto-jacking wordt genoemd, waarbij ook machines worden gekaapt met het doel om te minen. crypto-valuta's. Bovendien zijn enkele nieuw ontdekte kwetsbaarheden in Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers en VMware vCenter misbruikt. Tegelijkertijd heeft de netwerk-attached storage (NAS) appliance maker QNAP ook aangekondigd:onlangs de ontdekking van een cryptocurrency-mining-malware die ongeveer 50% van het totale CPU-gebruik in beslag zou kunnen nemen.