Tehdit avcıları, kripto para madencileri sunmak için bulut ortamlarında güvenlik açıklarını ve yanlış yapılandırmaları hedefleyen iki farklı kötü amaçlı yazılım kampanyasını açıkladılar.
Tehdit faaliyet kümelerine kodlanmıştır SOCO404 Ve Dokunuşu Bulut güvenlik firmaları tarafından sırasıyla Wiz ve Aqua.
SOCO404 “hem Linux hem de Windows sistemlerini hedefliyor, platforma özgü kötü amaçlı yazılımları dağıtıyor,” dedi Wiz araştırmacıları Maor Dokhanian, Shahar Dorfman ve Avigayil Mechtinger. Diyerek şöyle devam etti: “Kötü niyetli etkinliği meşru sistem süreçleri olarak gizlemek için maskelenmeyi kullanıyorlar.”
Etkinlik, yüklerin Google siteleri kullanılarak oluşturulan web sitelerinde barındırılan sahte 404 HTML sayfalarına yerleştirilmesi gerçeğine bir referanstır. Sahte siteler o zamandan beri Google tarafından kaldırıldı.
Wiz, daha önce zayıf kimlik bilgilerine sahip Apache Tomcat hizmetlerinden sonra gözlemlenen kampanyanın yanı sıra SYSRV botnet kullanan duyarlı Apache Struts ve Atlassian Confluence sunucuları, daha geniş bir kripto-sivilce altyapısının bir parçası olduğunu ve hileli kripto para ticaret platformları da dahil olmak üzere daha geniş bir kripto-sivilce altyapısının bir parçası olduğunu öne sürdü.
En son kampanyanın, kamuya açık PostgreSQL örneklerini hedeflediği tespit edildi ve saldırganlar da tehlikeye atılan Apache Tomcat sunucularını hem Linux hem de Windows ortamları için tasarlanmış yükleri barındırmaya yönlendiriyor. Ayrıca saldırganlar tarafından hacklenen kötü amaçlı yazılım teslimi için meşru bir Kore ulaşım web sitesidir.
İlk erişim elde edildikten sonra, PostgreSQL’in kopyası … Program SQL komutundan, ana bilgisayarda keyfi kabuk komutlarını çalıştırmak ve uzaktan kod yürütme elde etmek için kullanılır.
Wiz, “SOCO404’ün arkasındaki saldırgan, açık hizmetler için otomatik taramalar yapıyor gibi görünüyor ve erişilebilir giriş noktalarını kullanmayı amaçlıyor.” Dedi. “Wget ve Curl gibi Linux yardımcı programları ve Certutil ve PowerShell gibi Windows-doğal araçlar da dahil olmak üzere çok çeşitli giriş araçlarını kullanmaları fırsatçı bir stratejiyi vurgulamaktadır.”
Linux Systems’ta, bir sonraki aşamalı yükü indirmek ve başlatmak için doğrudan bellekte bir damlalık kabuğu komut dosyası yürütülürken, aynı anda rakip madencileri finansal kazancı en üst düzeye çıkarmak ve CRON ve WTMP ile ilişkili günlüklerin üzerine yazarak adli görünürlüğü sınırlamak için adımlar atar.
Önümüzdeki aşamada yürütülen yük, harici bir etki alanına başvurarak madenci için bir yükleyici görevi gören bir ikilidir (“www.fastsoco[.]Üst “) Google sitelerine dayanan.
Windows için saldırı zinciri, Linux muadili gibi, hem madenciyi hem de winring0.sys sürücüsünü yerleştiren bir yükleyiciye benzeyen bir Windows ikili indirmek ve yürütmek için ilk yetersiz çalışma komutundan yararlanır.
Bunun da ötesinde, kötü amaçlı yazılım Windows olay günlük hizmetini durdurmaya çalışır ve algılamadan kaçınmak için bir kendi kendine aşınma komutu yürütür.
Şirket, “Saldırgan, tek bir yönteme veya işletim sistemine güvenmek yerine, geniş bir ağ oluşturuyor ve yüklerini sağlamak için çevre veya tekniği kullanıyor olursa olsun, geniş bir ağ oluşturuyor.” Dedi. “Bu esnek yaklaşım, çeşitli hedeflere erişim ve kalıcılığı en üst düzeye çıkarmaya odaklanan geniş, otomatik bir kriptominasyon kampanyasının karakteristiğidir.”
Koske olarak adlandırılan ve büyük bir dil modelinden (LLM) yardımla geliştirildiğinden şüphelenilen ve kötü amaçlı yazılımları yaymak için pandaların görünüşte zararsız görüntülerini kullanan yeni bir Linux tehdidinin ortaya çıkmasıyla SoCO404’ün keşfi.
Saldırı, JupyterLab gibi yanlış yapılandırılmış bir sunucunun kullanımı ile başlar, iki JPEG görüntüsünden çeşitli komut dosyaları yüklemek için, LD_PRELOAD kullanarak kötü amaçlı kötü amaçlı yazılımla ilgili dosyaları gizlemek için kullanılan C tabanlı bir rootkit ve sonuçta enfekte sistemdeki kripto para madencilerini indiren bir kabuk komut dosyası. Her iki yük de diskte iz bırakmamak için doğrudan bellekte yürütülür.
Koske’nin nihai hedefi, diğerlerinin yanı sıra Monero, Ravencoin, Zano, Nexa ve Tari gibi 18 farklı madeni parayı madencilik yapmak için ev sahibinin hesaplama kaynaklarından yararlanan CPU ve GPU optimize edilmiş kripto para birimi madencilerini dağıtmaktır.
Aqua araştırmacısı Assaf Morag, “Bu görüntüler, sonuna kadar kötü niyetli yükler eklenen çok dilli dosyalardır. İndirildikten sonra, kötü amaçlı yazılım, antivirüs araçlarını atlayarak bellekte kötü amaçlı segmentleri çıkarır ve yürütür.” Dedi.
“Bu teknik steganografi değil, çok poliglot dosya kötüye kullanımı veya kötü amaçlı dosya gömme. Bu teknik, sonunda gizlenmiş kötü amaçlı kabuk kodu olan geçerli bir JPG dosyası kullanıyor. Sadece son bayt indirilir ve yürütülür, bu da onu çok sayıda poliglot kötüye kullanımı haline getirir.”