CoinStomp Malware
CoinStomp 是一個新的惡意軟件家族,似乎旨在感染雲服務,然後使用它們的資源來挖掘加密貨幣。這些攻擊已被稱為加密劫持。 Cado Security 在一份報告中向公眾披露了有關這種特定惡意軟件威脅的詳細信息。
根據他們的發現,CoinStomp 由 shell 腳本組成,這些腳本試圖利用屬於各種雲服務提供商的雲計算機實例大部分。到目前為止,大多數 CoinStomp 目標都是位於亞洲的雲提供商。研究人員在一個失效的有效載荷 URL 中發現了對被跟踪為 Xanthe 的加密劫持威脅參與者的引用。然而,僅憑這一事實不足以支持將威脅高度自信地歸因於網絡犯罪集團。此外,它可能已被真正的罪魁禍首留下,試圖通過安全研究人員關閉。
威脅能力
CoinStomp 配備了多種反檢測技術。最突出的一個圍繞“time-stomping”展開,這是一種通過 Linux touch 命令操作時間戳的方法。這樣做允許攻擊者隱藏使用chmod和chattr實用程序的實例。
此外,該威脅還將嘗試通過停止其加密策略來削弱目標 Linux 服務器。這些策略的目的是保護系統免受惡意軟件威脅的影響。為了促進 CoinStomp 惡意軟件的入侵行為,其創建者添加了一個例程,該例程使用 kill 命令禁用系統範圍的加密策略。
CoinStomp 打開一個反向 shell 以建立與其命令和控制(C2、C&C)服務器的通信。如果成功,攻擊者可以利用該威脅來提供額外的威脅有效載荷,包括用於更強大後門的二進製文件和XMRig的定製版本,一種門羅幣加密挖掘軟件。下一階段的有效負載將作為系統範圍的systemd服務運行,並將被授予 root 權限。
