Una nuova versione di un malware usato per il mining di criptovalute precedentemente utilizzato su Linux per colpire i container Docker nel 2020 ora si concentra su nuovi fornitori di servizi cloud come Huawei Cloud.
L’analisi della nuova campagna arriva dai ricercatori di TrendMicro, che spiegano come il malware si è evoluto con nuove funzionalità pur mantenendo la sua precedente funzionalità.
Più specificamente, e’ stato spiegato la funzione di creazione delle regole del firewall che continuano a setacciare la rete per mappare altri host con porte rilevanti per l’API in questione.
Tuttavia, la nuova versione del malware si rivolge solo agli ambienti cloud e ora sta cercando e rimuovendo qualsiasi altro script di cryptojacking che potrebbe aver precedentemente infettato il sistema.
Quando infetta un sistema Linux, il coinminer malevolo rimuovera’ qualsiasi altro dato creato da distributori di malware di mining di criptovalute concorrenti.
Ecco spiegata la procedura in poche parole
Dopo aver rimosso i dati, verrano aggiunte delle credenziali proprie, un passaggio comune per molti cryptojacker che mirano al cloud. Tuttavia, a differenza di molti altri cryptominer, il malware aggiunge i loro account utente all’elenco dei sudoer, dando loro l’accesso root al dispositivo.
Per garantire che la persistenza venga mantenuta sul dispositivo, gli aggressori utilizzano la propria chiave ssh-RSA per eseguire modifiche al sistema e modificare i permessi dei file in uno stato bloccato.
Ciò significa che anche se un altro utente ottiene l’accesso al dispositivo in futuro, non sarà in grado di assumere il controllo completo della macchina.
Verra’ quindi installato il servizio proxy Tor per proteggere le comunicazioni dal rilevamento e dal controllo della scansione della rete, passando tutte le connessioni attraverso di esso per l’anonimizzazione.
Dopo aver preso piede su un dispositivo, gli script dell’hacker sfrutteranno i sistemi remoti infettandoli con script dannosi. Le vulnerabilità note scansionate durante questo attacco includono:
- SSH
- Vulnerabilità nel prodotto Oracle WebLogic Server di Oracle Fusion Middleware
- Redis accessi non autorizzati o password deboli
- Accesso non autorizzato a PostgreSQL o password debole
- Password debole di SQLServer
- Accesso non autorizzato MongoDB o password debole
- Password debole del protocollo di trasferimento file (FTP)