CoinStomp Malware
CoinStomp, Bulut hizmetlerine bulaşmak ve ardından kaynaklarını kripto para madenciliği yapmak için kullanmak üzere tasarlanmış gibi görünen yeni bir kötü amaçlı yazılım ailesidir. Bu saldırılar kripto hırsızlığı olarak bilinir hale geldi. Bu özel kötü amaçlı yazılım tehdidiyle ilgili ayrıntılar, Cado Security tarafından hazırlanan bir raporda halka açıklandı.
Bulgularına göre CoinStomp, çeşitli Bulut hizmet sağlayıcılarına ait Bulut bilgisayar örneklerinden yararlanmaya çalışan kabuk komut dosyalarından oluşuyor.büyük oranda. Şimdiye kadar, CoinStomp hedeflerinin çoğu Asya'da bulunan Bulut sağlayıcıları olmuştur. Araştırmacılar, feshedilmiş bir yük URL'sinde Xanthe olarak izlenen kripto hırsızlığı tehdidi aktörüne bir referans buldu. Ancak bu gerçek, tehdidin siber suçlu grubuna yüksek güvenle atfedilmesini desteklemek için tek başına yeterli değildir. Ayrıca, güvenlik araştırmacılarını devre dışı bırakma girişimi olarak gerçek suçlular tarafından bırakılmış olabilir.
Tehdit Edici Yetenekler
CoinStomp, çeşitli algılama önleme teknikleri ile donatılmıştır. En belirgin olanı, Linux touch komutuyla zaman damgalarını manipüle etmek için bir yöntem olan 'zaman durdurma' etrafında döner. Bunu yapmak, saldırganların chmod ve chattr yardımcı programlarının kullanıldığı örnekleri gizlemesine olanak tanır.
Ayrıca tehdit, kriptografik politikalarını durdurarak hedeflenen Linux sunucusunu zayıflatmaya da çalışacaktır. Bu ilkelerin amacı, sistemi üzerine bırakılan ve yürütülen kötü amaçlı yazılım tehditlerinden korumaktır. CoinStomp kötü amaçlı yazılımının müdahaleci eylemlerini kolaylaştırmak için yaratıcıları, sistem genelinde şifreleme politikalarını devre dışı bırakmak için kill komutu kullanan bir rutin eklediler.
CoinStomp, Komuta ve Kontrol (C2, C&C) sunucusuyla iletişim kurmak için bir ters kabuk açar. Başarılı olursa, saldırganlar daha sonra daha güçlü arka kapılar için ikili dosyalar ve bir Monero kripto madenciliği yazılımı olan XMRig'in özelleştirilmiş bir sürümü dahil olmak üzere ek tehdit edici yükler sağlamak için tehdidi kullanabilir. Sonraki aşama yükler, sistem genelinde sistemd hizmetleri olarak çalıştırılacak ve kök ayrıcalıkları verilecektir.
