CoinStomp Malware
CoinStomp 是一个新的恶意软件家族,似乎旨在感染云服务,然后使用它们的资源来挖掘加密货币。这些攻击已被称为加密劫持。 Cado Security 在一份报告中向公众披露了有关这种特定恶意软件威胁的详细信息。
根据他们的发现,CoinStomp 由 shell 脚本组成,这些脚本试图利用属于各种云服务提供商的云计算机实例大部分。到目前为止,大多数 CoinStomp 目标都是位于亚洲的云提供商。研究人员在一个失效的有效载荷 URL 中发现了对被跟踪为 Xanthe 的加密劫持威胁参与者的引用。然而,仅凭这一事实不足以支持将威胁高度自信地归因于网络犯罪集团。此外,它可能已被真正的罪魁祸首留下,试图通过安全研究人员关闭。
威胁能力
CoinStomp 配备了多种反检测技术。最突出的一个围绕“time-stomping”展开,这是一种通过 Linux touch 命令操作时间戳的方法。这样做允许攻击者隐藏使用chmod和chattr实用程序的实例。
此外,该威胁还将尝试通过停止其加密策略来削弱目标 Linux 服务器。这些策略的目的是保护系统免受恶意软件威胁的影响。为了促进 CoinStomp 恶意软件的入侵行为,其创建者添加了一个例程,该例程使用 kill 命令禁用系统范围的加密策略。
CoinStomp 打开一个反向 shell 以建立与其命令和控制(C2、C&C)服务器的通信。如果成功,攻击者可以利用该威胁来提供额外的威胁有效载荷,包括用于更强大后门的二进制文件和XMRig的定制版本,一种门罗币加密挖掘软件。下一阶段的有效负载将作为系统范围的systemd服务运行,并将被授予 root 权限。
