Laufende Autom-Cryptomining-Malware-Angriffe mit verbesserten Umgehungstaktiken

  • Eine laufende Krypto-Mining-Kampagne hat ihr Arsenal aufgerüstet und gleichzeitig neue Verteidigungsumgehungstaktiken hinzugefügt, die es den Bedrohungsakteuren ermöglichen, die Eindringlinge zu verbergen und unter dem Radar zu fliegen, wie neue, heute veröffentlichte Forschungsergebnisse zeigen.

    Seit der ersten Entdeckung im Jahr 2019 wurden bis heute insgesamt 84 Angriffe auf seine Honeypot-Server aufgezeichnet, von denen vier im Jahr 2021 stattfanden, so die Forscher des DevSecOps- und Cloud-Sicherheitsunternehmens Aqua Security, die die Malware-Operation in den letzten drei Jahren verfolgt haben. Allerdings wurden allein im dritten Quartal 2021 125 Angriffe in freier Wildbahn gesichtet, was darauf hindeutet, dass die Angriffe nicht nachgelassen haben.

    Bei den ersten Angriffen wurde beim Ausführen eines Vanilla-Images namens “alpine:latest” ein bösartiger Befehl ausgeführt, der zum Download eines Shell-Skripts namens “autom.sh” führte.

    “Angreifer verwenden häufig Vanilla-Images zusammen mit bösartigen Befehlen, um ihre Angriffe auszuführen, da die meisten Organisationen den offiziellen Images vertrauen und deren Verwendung erlauben”, so die Forscher in einem Bericht, der The Hacker News vorliegt. “Im Laufe der Jahre hat sich der bösartige Befehl, der dem offiziellen Image hinzugefügt wurde, um den Angriff auszuführen, kaum verändert. Der Hauptunterschied ist der Server, von dem das Shell-Skript autom.sh heruntergeladen wurde.”

    [Blocked Image: https://thehackernews.com/images/-b2ieWo0PeVw/YVHQq_NfHwI/AAAAAAAA4Z8/HinmNVyVOAAZK64q2-sVib6EEXsbg6HCQCLcBGAsYHQ/s728-e100/rewind-2-728.png]

    Das Shell-Skript leitet die Angriffssequenz ein und ermöglicht es dem Angreifer, ein neues Benutzerkonto unter dem Namen “akay” zu erstellen und dessen Berechtigungen zu einem Root-Benutzer zu erweitern, mit dem beliebige Befehle auf dem kompromittierten Rechner ausgeführt werden, um Kryptowährung zu schürfen.

    Während die frühen Stadien der Kampagne im Jahr 2019 keine speziellen Techniken zur Verschleierung der Mining-Aktivitäten enthielten, zeigen spätere Versionen die extremen Maßnahmen, die die Entwickler ergriffen haben, um sie für die Erkennung und Überprüfung unsichtbar zu machen, insbesondere die Fähigkeit, Sicherheitsmechanismen zu deaktivieren und ein verschleiertes Mining-Shell-Skript abzurufen, das fünfmal Base64-kodiert wurde, um Sicherheitstools zu umgehen.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEjL_NHzOGYPjcbggur5-ler5jP3vR18pUrx6fxO1CQynbcWXjA_enyLB7b1Tz_ZByvt85RbrvMeP_UyEVXxym_ZY3V9JqXdwprDHL1SCv59FytRXVWlQbtXzNo0gfBGL7oFdMpfS-Y6P-aDX6V_8qR58yYhKtGsZKHoji5OR1vyck5KlRM1z5qxt9XB=s728-e1000]

    Malware-Kampagnen, die darauf abzielen, Computer zu kapern, um Kryptowährungen zu schürfen, wurden von mehreren Bedrohungsakteuren wie Kinsing dominiert. Kinsing hat das Internet nach falsch konfigurierten Docker-Servern durchsucht, um in die ungeschützten Hosts einzudringen und einen bisher nicht dokumentierten Coin-Miner-Stamm zu installieren.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgQL675wRyXhK4J7eeV0m3ReQwH02mTIGbayvU6n-D3e9fjRq992l8dALghxCw149gj5feKrKG-UPlHzH9Gf7sXZcBhNO1DZzmIQH4gJerVB_leUQucvYafoo93jIObAnVu-qD4EmtlXN--nxw4X7KWMaHnDz87G_JNS6lbS7GCVocL0pqEv1bW0L8J=s728-e1000]

    Darüber hinaus wurde eine Hackergruppe namens TeamTNT dabei beobachtet, wie sie ungesicherte Redis-Datenbankserver, Alibaba Elastic Computing Service (ECS)-Instanzen, exponierte Docker-APIs und anfällige Kubernetes-Cluster angriff, um bösartigen Code mit Root-Rechten auf den anvisierten Hosts auszuführen sowie Kryptowährungs-Mining-Payloads und Credential Stealers zu verteilen. Darüber hinaus wurden kompromittierte Docker Hub-Konten genutzt, um bösartige Images zu hosten, die dann zur Verteilung von Kryptowährungs-Minern verwendet wurden.

    [Blocked Image: https://thehackernews.com/new-images/img/a/AVvXsEgX1gDcM3NJ7zFIjh2jy_YjPVvQV-OXmjPoUNQ5e-4V05t95bJZjKKE8s8zCu6HcSbiNZlBWTDqjFtGlcNvkPu1bdFL3iwot1BI28jkqbfRmwmMWy4-ZqVBMdE1cnIiLTiCUnWYnIDLmQd_sAu3tfIn4vqXVTD_545AbcLymn536FoMwRzJh8yA6hWEdw=s728-e100]

    In den letzten Wochen wurden Sicherheitslücken in der Log4j-Protokollierungsbibliothek sowie kürzlich aufgedeckte Schwachstellen in Atlassian Confluence, F5 BIG-IP, VMware vCenter und Oracle WebLogic Servern dazu missbraucht, Rechner zu übernehmen, um Kryptowährungen zu schürfen – ein Schema, das als Cryptojacking bekannt ist. Anfang dieses Monats warnte der Hersteller von Network-Attached-Storage (NAS)-Geräten QNAP vor Malware für das Mining von Kryptowährungen, die auf seine Geräte abzielt und etwa 50 % der gesamten CPU-Auslastung in Anspruch nehmen kann.

    “Miner sind eine risikoarme Möglichkeit für Cyberkriminelle, eine Schwachstelle in digitales Geld umzuwandeln, wobei das größte Risiko für ihren Geldfluss darin besteht, dass konkurrierende Miner dieselben anfälligen Server entdecken”, stellte Sean Gallagher, Senior Threat Researcher bei Sophos, in einer Analyse einer Tor2Mine-Mining-Kampagne fest, bei der ein PowerShell-Skript verwendet wird, um den Malware-Schutz zu deaktivieren, eine Miner-Nutzlast auszuführen und Windows-Anmeldedaten zu sammeln.

    “Die Autom-Kampagne zeigt, dass die Angreifer immer raffinierter werden und ihre Techniken sowie ihre Fähigkeit, die Erkennung durch Sicherheitslösungen zu umgehen, ständig verbessern”, so die Forscher. Um sich vor diesen Bedrohungen zu schützen, wird empfohlen, verdächtige Container-Aktivitäten zu überwachen, dynamische Image-Analysen durchzuführen und die Umgebungen routinemäßig auf Fehlkonfigurationen zu überprüfen.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com