Automatisk skadlig programvara

Autom är namnet på en pågående kryptogruvkampanj, som först upptäcktes redan 2019. Sedan dess har totalt 84 attacker mot forskarnas honeypot-servrar rapporterats, fyra av dessa inträffade 2021. Dessa kryptominingattacker förväntas inte att sakta ner under det kommande året. I själva verket är det snarare tvärtom. Experter rapporterar att angriparna bakom Autom-kampanjen utvecklar sina metoder, vilket gör hot mot skadlig programvara mer kapabla att undvika försvarsmekanismer och flyger under radarn av antivirus-skanningsverktyg.

De första attackerna av denna kampanj innebar att ett hotfullt kommando kördes när en användare körde en vaniljbild med namnet "alpine:latest." Den åtgärden resulterade i ett skalskript med namnet "autom.sh." laddas ner på enheten. Denna taktik fortsätter att vara framgångsrik, eftersom de flesta organisationer litar på officiella vaniljbilder och tillåter användning av dem. Medanhotande kommando som lagts till i den skadade vaniljbilden har knappt ändrats över tiden, skadlig kod forskare har identifierat en skillnad på servern från vilken skalskriptet laddas ner.

Enligt rapporter består attacksekvensen fortfarande av autom.sh-skriptet, vilket möjliggör skapandet av ett nytt användarkonto med namnet "akay". Sedan uppgraderas kontots privilegier till en rootanvändare, vilket gör att angriparna kan köra godtyckliga kommandon på den infekterade maskinen och så småningom utnyttja de tillgängliga resurserna för att bryta kryptovaluta.

En ny funktion som nyligen lagts till handlar om möjligheten att förbli osynlig för upptäckt – denhotande skript kan nu inaktivera säkerhetsmekanismer genom att hämta ett obfuscerat mining shell-skript. Det här speciella skriptet undviker säkerhetsverktyg, eftersom det är Base64-kodat fem gånger.

Tillsammans med de redan kända sårbarheter som cyberbrottslingar vanligtvis utnyttjar för att utföra krypto-miningattacker, har säkerhetsbrister i log4j-loggningsbiblioteket under de senaste veckorna missbrukats för att exekvera ett schema som kallas krypto-jacking, som också involverar kapning av maskiner i syfte att gruvbryta kryptovalutor. Dessutom har några nyligen upptäckta sårbarheter i Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers och VMware vCenter missbrukats. Samtidigt har tillverkaren av nätverksanslutna lagringar (NAS) QNAP också meddelatnyligen upptäckten av en skadlig kod för brytning av kryptovaluta som kan uppta cirka 50 % av den totala CPU-användningen.