Automatyczne złośliwe oprogramowanie

Autom to nazwa trwającej kampanii wydobywania kryptowalut, po raz pierwszy wykrytej w 2019 roku. Od tego czasu zgłoszono łącznie 84 ataki na serwery typu honeypot badaczy, z których cztery miały miejsce w 2021 roku. zwolnić w nadchodzącym roku. W rzeczywistości jest raczej odwrotnie. Eksperci informują, że osoby atakujące stojące za kampanią Autom rozwijają swoje metody, sprawiając, że złośliwe oprogramowanie jest bardziej zdolne do omijania mechanizmów obronnych i unoszenia się pod radarem narzędzi skanujących.

Pierwsze ataki w ramach tej kampanii polegały na wykonaniu groźnego polecenia, gdy użytkownik uruchomi obrazek o nazwie „alpine:latest”. Ta akcja spowodowała powstanie skryptu powłoki o nazwie „autom.sh”. pobierane na urządzenie. Ta taktyka odnosi sukcesy, ponieważ większość organizacji ufa oficjalnym obrazom waniliowym i zezwala na ich użycie. Podczasgroźne polecenie dodane do uszkodzonego obrazu waniliowego prawie nie uległo zmianie na przestrzeni czasu, badacze złośliwego oprogramowania zidentyfikowali różnicę w serwerze, z którego pobierany jest skrypt powłoki.

Według doniesień sekwencja ataku nadal składa się ze skryptu autom.sh, który umożliwia utworzenie nowego konta użytkownika o nazwie „OK”. Następnie uprawnienia konta są uaktualniane do użytkownika root, co pozwala atakującym na uruchamianie dowolnych poleceń na zainfekowanej maszynie i, ostatecznie, wykorzystanie dostępnych zasobów do wydobywania kryptowaluty.

Dodana niedawno nowa funkcja dotyczy możliwości pozostania niewidocznym dla wykrycia –groźne skrypty mogą teraz wyłączać mechanizmy bezpieczeństwa, pobierając zaciemniony skrypt powłoki górniczej. Ten konkretny skrypt unika narzędzi zabezpieczających, ponieważ jest pięciokrotnie zakodowany w Base64.

Oprócz znanych już luk, które cyberprzestępcy zwykle wykorzystują do przeprowadzania ataków kopania kryptowalut, w ostatnich tygodniach wykorzystywano luki w zabezpieczeniach biblioteki logów Log4j w celu wykonania schematu zwanego crypto-jackingiem, który obejmuje również przejmowanie maszyn w celu kopania kryptowaluty. Ponadto niektóre nowo wykryte luki w zabezpieczeniach Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers i VMware vCenter zostały niewłaściwie wykorzystane. W tym samym czasie, QNAP, producent urządzeń do sieciowej pamięci masowej (NAS), również ogłosiłniedawno odkryto złośliwe oprogramowanie do kopania kryptowalut, które może zająć około 50% całkowitego wykorzystania procesora.