CoinStomp Malware
CoinStomp to nowa rodzina złośliwego oprogramowania, które wydaje się być przeznaczone do infekowania usług w chmurze, a następnie wykorzystywania ich zasobów do wydobywania kryptowalut. Ataki te stały się znane jako cryptojacking. Szczegóły dotyczące tego konkretnego zagrożenia złośliwym oprogramowaniem zostały ujawnione opinii publicznej w raporcie przygotowanym przez Cado Security.
Zgodnie z ich ustaleniami, CoinStomp składa się ze skryptów powłoki, które próbują wykorzystać instancje komputerów w chmurze należących do różnych dostawców usług w chmurzew dużej mierze. Do tej pory większość celów CoinStomp to dostawcy chmury z Azji. Naukowcy znaleźli odniesienie do cyberprzestępcy śledzonego jako Xanthe w nieistniejącym adresie URL ładunku. Jednak sam ten fakt nie wystarczy, aby z dużym zaufaniem przypisać zagrożenie grupie cyberprzestępczej. Co więcej, może to zostać pozostawione przez prawdziwych winowajców jako próba usunięcia badaczy bezpieczeństwa.
Zdolności grożące
CoinStomp jest wyposażony w kilka technik antydetekcyjnych. Najważniejszy z nich dotyczy „stopowania czasu”, metody manipulowania znacznikami czasu za pomocą polecenia Linux touch. Dzięki temu atakujący mogą ukryć przypadki, w których użyto narzędzi chmod i chattr.
Ponadto zagrożenie będzie również próbowało osłabić docelowy serwer Linux, zatrzymując jego polityki kryptograficzne. Celem tych zasad jest ochrona systemu przed upuszczeniem i wykonaniem na nim zagrożeń złośliwym oprogramowaniem. Aby ułatwić natrętne działania złośliwego oprogramowania CoinStomp, jego twórcy dodali procedurę, która używa polecenia kill do wyłączania ogólnosystemowych zasad kryptograficznych.
CoinStomp otwiera odwróconą powłokę, aby nawiązać komunikację z serwerem Command-and-Control (C2, C&C). Jeśli się powiedzie, atakujący mogą następnie wykorzystać zagrożenie do dostarczenia dodatkowych niebezpiecznych ładunków, w tym plików binarnych dla potężniejszych backdoorów i dostosowanej wersji XMRig, oprogramowania do wydobywania kryptowalut Monero. Ładunki następnego etapu będą uruchamiane jako usługi systemowe dla całego systemu i będą miały uprawnienia administratora.
