Zlonamerna programska oprema CoinStomp
CoinStomp je nova družina zlonamerne programske opreme, za katero se zdi, da je zasnovana tako, da okuži storitve v oblaku in nato uporabi njihove vire za rudarjenje kriptovalute. Ti napadi so postali znani kot cryptojacking. Podrobnosti o tej grožnji z zlonamerno programsko opremo so bile javnosti razkrite v poročilu Cado Security.
Po njihovih ugotovitvah je CoinStomp sestavljen iz skriptov lupine, ki poskušajo izkoristiti primerke računalnikov v oblaku, ki pripadajo različnim ponudnikom storitev v oblaku.v veliki meri. Doslej je bila večina ciljev CoinStompa ponudniki v oblaku v Aziji. Raziskovalci so odkrili sklicevanje na akterja grožnje kriptojackinga, ki mu sledijo kot Xanthe, v neveljavnem URL-ju koristnega tovora. Vendar samo to dejstvo ni dovolj za podporo pripisovanja grožnje z velikim zaupanjem kibernetski kriminalni skupini. Poleg tega so ga morda zapustili resnični krivci kot poskus prek varnostnih raziskovalcev.
Nevarne zmogljivosti
CoinStomp je opremljen z več tehnikami proti zaznavanju. Najpomembnejši se vrti okoli 'time-stomping', metode za manipuliranje časovnih žigov prek ukaza na dotik Linuxa. S tem lahko napadalci skrijejo primere, kjer so bili uporabljeni pripomočki chmod in chattr.
Poleg tega bo grožnja poskušala oslabiti ciljni strežnik Linux z zaustavitvijo njegovih kriptografskih politik. Namen teh pravilnikov je zaščititi sistem pred grožnjami zlonamerne programske opreme, ki se na njem spustijo in izvajajo. Da bi olajšali vsiljiva dejanja zlonamerne programske opreme CoinStomp, so njeni ustvarjalci dodali rutino, ki uporablja ukaz kill za onemogočanje sistemskih kriptografskih politik.
CoinStomp odpre obratno lupino, da vzpostavi komunikacijo s svojim strežnikom Command-and-Control (C2, C&C). Če je uspešen, lahko napadalci nato uporabijo grožnjo za dostavo dodatnih nevarnih koristnih bremen , vključno z binarnimi datotekami za zmogljivejša zaledna vrata in prilagojeno različico XMRig, programske opreme za kripto rudarjenje Monero. Naslednja stopnja koristne obremenitve se bo izvajala kot sistemske storitve systemd in jim bo dodeljena root privilegije.
