Вредоносное ПО CoinStomp

CoinStomp — это новое семейство вредоносных программ, предназначенное для заражения облачных сервисов и последующего использования их ресурсов для добычи криптовалюты. Эти атаки стали известны как криптоджекинг. Подробности об этой конкретной вредоносной угрозе были раскрыты общественности в отчете Cado Security.

Согласно их выводам, CoinStomp состоит из сценариев оболочки, которые пытаются использовать экземпляры облачных компьютеров, принадлежащих различным поставщикам облачных услуг.во многом. До сих пор большинство целей CoinStomp были поставщиками облачных услуг, расположенными в Азии. Исследователи обнаружили упоминание о субъекте угрозы криптоджекинга, отслеживаемом как Xanthe, в несуществующем URL-адресе полезной нагрузки. Однако одного этого факта недостаточно для того, чтобы с высокой степенью уверенности отнести угрозу к группе киберпреступников. Кроме того, настоящие преступники могли оставить его в качестве попытки обойти исследователей безопасности.

Угрожающие возможности

CoinStomp оснащен несколькими методами защиты от обнаружения. Самый известный из них вращается вокруг «time-stomping», метода манипулирования временными метками с помощью команды touch в Linux. Это позволяет злоумышленникам скрыть экземпляры, в которых использовались утилиты chmod и chattr.

Кроме того, угроза также попытается ослабить целевой сервер Linux, отключив его криптографические политики. Целью этих политик является защита системы от вредоносных программ, которые могут быть сброшены и запущены на ней. Чтобы облегчить навязчивые действия вредоносного ПО CoinStomp, его создатели добавили процедуру, которая использует команду kill для отключения общесистемных криптографических политик.

CoinStomp открывает обратную оболочку для установления связи со своим сервером Command-and-Control (C2, C&C). В случае успеха злоумышленники могут затем использовать угрозу для доставки дополнительных опасных полезных данных, включая двоичные файлы для более мощных бэкдоров и настроенную версию XMRig , программного обеспечения для крипто-майнинга Monero. Полезные нагрузки следующего этапа будут запускаться как общесистемные сервисы systemd, и им будут предоставлены привилегии root.