Xanthe Malware

De groei van cloudomgevingen en -services heeft het technologielandschap op talloze manieren enorm veranderd. Een van de aspecten die niet over het hoofd mogen worden gezien, is beveiliging. Hoewel Windows-desktopsystemen lange tijd het primaire doelwit waren van cybercriminelen, en dat nog steeds is, heeft er ook een belangrijke verschuiving plaatsgevonden. Sterker nog, steeds meer hosts op internet draaien Linux en zijn een veel gemakkelijkere prooi vanwege de extra inspanningen die ze vereisen bij het opzetten van hun beveiligingsmaatregelen in vergelijking met interne Windows-systemen. Tot nu toe hebben infosec-onderzoekers in 2020 meerdere campagnes waargenomen die precies op dergelijke systemen waren gericht, met als een van de laatste de Xanthe Malware.

De Xanthe Malware is een multimodulair botnet en een malwarebedreiging die misbruik maakt van onjuist geconfigureerde Docker API-installaties om Linux-systemen te infecteren. Eenmaal binnen implementeert Xanthe een variant van de populaire cryptomining- malware XMRig Monero en verzamelt het client-side referenties en certificaten, die het gebruikt om zichzelf te verspreiden.

Het eerste bestand dat op het doelsysteem wordt neergezet, is een downloader-script genaamd pop.sh dat de taak heeft om de hoofdmodule van het botnet te downloaden - xanthe.sh. Eenmaal geïmplementeerd, laat Xanthe vier extra malwaremodules vallen, elk verantwoordelijk voor een andere schadelijke functionaliteit:

• libprocesshider.so - een module voor het verbergen van processen
• xesa.txt - een shellscript dat andere malware-bedreigingen voor cryptomining uitschakelt, evenals beveiligingssoftware
• fczyo - een shellscript dat is belast met het verwijderen van concurrerende Docker-targeting cryptominers
• config.json - het binaire bestand van de XMRig Monero cryptominer-variant

De hoofdmodule probeert zichzelf te verspreiden naar andere systemen, zowel verbonden met lokale als externe netwerken. Voor dit doel verkrijgt Xanthe het IP-adres van de gecompromitteerde host door verbinding te maken met icanhazip.com. Vervolgens verzamelt de malwarebedreiging client-side certificaten door gebruik te maken van het 'vind'-hulpprogramma. Wanneer alle sleutels zijn verkregen, zoekt Xanthe naar bekende TCP-poorten, hosts en de wachtwoorden voor die hosts. Een lusproces dat zich herhaalt op alle mogelijke combinaties van de verkregen informatie wordt gebruikt in een poging om verbinding te maken met externe hosts. Als dit lukt, downloadt en voert Xanthe de hoofdmodule op het externe systeem uit via opdrachtregels.