Avtomatska zlonamerna programska oprema

Autom je ime tekoče kampanje kripto-rudarja, ki so jo prvič odkrili že leta 2019. Od takrat je bilo prijavljenih skupno 84 napadov na strežnike honeypot raziskovalcev, od tega štirje v letu 2021. Teh napadov kripto-rudarja ni pričakovati upočasniti v prihodnjem letu. Pravzaprav je prej nasprotno. Strokovnjaki poročajo, da napadalci, ki stojijo za kampanjo Autom, razvijajo svoje metode, zaradi česar so grožnje z zlonamerno programsko opremo bolj sposobne izogniti se obrambnim mehanizmom in leteti pod radarjem protivirusnih orodij za skeniranje.

Začetni napadi te kampanje so vključevali izvajanje grozečega ukaza, ko uporabnik zažene vanilijevo sliko z imenom »alpine:latest«. Rezultat tega dejanja je bil lupinski skript z imenom "autom.sh." se prenaša na napravo. Ta taktika je še naprej uspešna, saj večina organizacij zaupa uradnim slikam vanilije in dovoljuje njihovo uporabo. Medtem ko jegrozeči ukaz, ki je bil dodan poškodovani vaniljevi podobi, se je sčasoma komaj spremenil, raziskovalci zlonamerne programske opreme so ugotovili razliko v strežniku, s katerega se prenaša skript lupine.

Po poročilih je zaporedje napada še vedno sestavljeno iz skripta autom.sh, ki omogoča ustvarjanje novega uporabniškega računa z imenom »akay«. Nato se privilegiji računa nadgradijo na root uporabnika, kar napadalcem omogoča, da izvajajo poljubne ukaze na okuženem računalniku in sčasoma izkoristijo razpoložljiva sredstva za rudarjenje kriptovalute.

Nova funkcija, ki je bila nedavno dodana, se nanaša na zmožnost ostati neviden za odkrivanje –grozeči skripti lahko zdaj onemogočijo varnostne mehanizme tako, da pridobijo zakrit skript lupine rudarjenja. Ta poseben skript se izogiba varnostnim orodjem, saj je petkrat kodiran v Base64.

Poleg že znanih ranljivosti, ki jih kibernetski kriminalci običajno izkoriščajo za izvajanje napadov na kripto-rudarjenje, so bile v zadnjih tednih varnostne pomanjkljivosti v knjižnici za beleženje Log4j zlorabljene za izvajanje sheme, imenovane crypto-jacking, ki vključuje tudi ugrabitve strojev z namenom rudarjenja. kriptovalute. Poleg tega so bile zlorabljene nekatere na novo odkrite ranljivosti v Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers in VMware vCenter. Hkrati je proizvajalec omrežnih naprav za shranjevanje (NAS) QNAP napovedal tudinedavno odkritje zlonamerne programske opreme za rudarjenje kriptovalut, ki bi lahko zasedla približno 50 % celotne uporabe CPE.