Otomatik Kötü Amaçlı Yazılım

Autom, ilk olarak 2019'da tespit edilen, devam eden bir kripto madenciliği kampanyasının adıdır. O zamandan beri, araştırmacıların bal küpü sunucularına yönelik toplam 84 saldırı rapor edildi, bunlardan dördü 2021'de gerçekleşti. Bu kripto madenciliği saldırıları beklenmiyor önümüzdeki yıl yavaşlamak için. Aslında, bunun tam tersi. Uzmanlar, Autom kampanyasının arkasındaki saldırganların yöntemlerini geliştirdiğini, kötü amaçlı yazılım tehditlerini savunma mekanizmalarından kaçma ve anti-virüs tarama araçlarının radarı altında uçma konusunda daha yetenekli hale getirdiğini bildiriyor.

Bu kampanyanın ilk saldırıları, bir kullanıcı "alpine:latest" adında bir vanilya görüntüsü çalıştırdığında tehdit edici bir komutun yürütülmesini içeriyordu. Bu eylem, "autom.sh" adlı bir kabuk komut dosyasıyla sonuçlandı. cihaza indiriliyor. Çoğu kuruluş resmi vanilya görüntülerine güvendiği ve bunların kullanımına izin verdiği için bu taktik başarılı olmaya devam ediyor. ikenbozuk vanilya görüntüsüne eklenen tehdit edici komut zamanla neredeyse hiç değişmedi, kötü amaçlı yazılım araştırmacıları, kabuk komut dosyasının indirildiği sunucuda bir fark belirlediler.

Raporlara göre, saldırı dizisi hala "akay" adlı yeni bir kullanıcı hesabının oluşturulmasını sağlayan autom.sh betiğinden oluşuyor. Ardından, hesabın ayrıcalıkları bir kök kullanıcıya yükseltilir, bu da saldırganların virüslü makinede rastgele komutlar çalıştırmasına ve nihayetinde mevcut kaynakları kripto para madenciliği yapmak için kullanmasına izin verir.

Yakın zamanda eklenen yeni bir özellik, algılamaya karşı görünmez kalma yeteneğiyle ilgilidir.tehdit edici komut dosyaları, artık gizlenmiş bir madencilik kabuğu komut dosyası alarak güvenlik mekanizmalarını devre dışı bırakabilir. Bu özel komut dosyası, beş kez Base64 ile kodlandığı için güvenlik araçlarından kaçınır.

Siber suçluların genellikle kripto madenciliği saldırıları yürütmek için yararlandığı bilinen güvenlik açıklarının yanı sıra, son haftalarda Log4j günlük kitaplığındaki güvenlik açıkları, kripto hırsızlığı adı verilen ve madencilik amacıyla makinelerin ele geçirilmesini de içeren bir planı yürütmek için kötüye kullanıldı. kripto para birimleri. Ayrıca Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servers ve VMware vCenter'da yeni keşfedilen bazı güvenlik açıkları kötüye kullanıldı. Aynı zamanda, ağa bağlı depolama (NAS) cihazı üreticisi QNAP da duyurduSon zamanlarda, toplam CPU kullanımının yaklaşık %50'sini işgal edebilecek bir kripto para madenciliği kötü amaçlı yazılımının keşfi.