Автоматическое вредоносное ПО

Автомат - это название продолжающейся кампании крипто-майнинга, впервые обнаруженной еще в 2019 году. С тех пор было зарегистрировано в общей сложности 84 атаки на серверы-приманки исследователей, четыре из которых произошли в 2021 году. Этих атак крипто-майнинга не ожидается. замедлиться в наступающем году. На самом деле, скорее наоборот. Эксперты сообщают, что злоумышленники, стоящие за кампанией Autom, развивают свои методы, делая вредоносные программы более способными обходить механизмы защиты и скрываясь от средств антивирусного сканирования.

Первоначальные атаки этой кампании заключались в выполнении угрожающей команды после того, как пользователь запустил ванильный образ с именем «alpine: latest». Результатом этого действия стал сценарий оболочки с именем «autom.sh». загружается на устройство. Эта тактика продолжает приносить успех, поскольку большинство организаций доверяют официальным ванильным изображениям и разрешают их использование. В то время какУгрожающая команда, добавленная к поврежденному ванильному образу, практически не изменилась с течением времени, исследователи вредоносных программ обнаружили разницу в сервере, с которого загружается сценарий оболочки.

Согласно сообщениям, последовательность атаки по-прежнему состоит из сценария autom.sh, который позволяет создать новую учетную запись пользователя с именем «akay». Затем привилегии учетной записи повышаются до пользователя root, что позволяет злоумышленникам запускать произвольные команды на зараженной машине и, в конечном итоге, использовать доступные ресурсы для добычи криптовалюты.

Новая функция, добавленная недавно, касается способности оставаться невидимым для обнаружения -угрожающие сценарии теперь могут отключать механизмы безопасности, извлекая обфусцированный сценарий оболочки майнинга. В этом конкретном сценарии не используются инструменты безопасности, поскольку он пять раз закодирован в кодировке Base64.

Наряду с уже известными уязвимостями, которые киберпреступники обычно используют для проведения атак крипто-майнинга, в последние недели были использованы недостатки безопасности в библиотеке журналов Log4j для выполнения схемы, называемой криптоджекингом, которая также включает захват машин с целью майнинга. криптовалюты. Кроме того, были неправильно использованы некоторые недавно обнаруженные уязвимости в Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers и VMware vCenter. В то же время производитель устройств сетевого хранения данных (NAS) QNAP также объявилнедавно было обнаружено вредоносное ПО для майнинга криптовалюты, которое может занимать около 50% от общего использования ЦП.