Dreigingsjagers hebben twee verschillende malware -campagnes bekendgemaakt die zich hebben gericht op kwetsbaarheden en verkeerde configuraties in cloudomgevingen om mijnwerkers van cryptocurrency te leveren.
De clusters van de dreigingsactiviteit zijn gecodeerd SOCO404 En Koske door cloudbeveiligingsbedrijven Wiz en Aqua, respectievelijk.
SOCO404 “richt zich op zowel Linux- als Windows Systems, implementeert platformspecifieke malware,” zeiden WIZ-onderzoekers Maor Dokhanian, Shahar Dorfman en Avigayil Meettinger. “Ze gebruiken procesmaskerading om kwaadaardige activiteit te verbergen als legitieme systeemprocessen.”
De activiteit is een verwijzing naar het feit dat payloads zijn ingebed in nep 404 HTML -pagina’s gehost op websites die zijn gebouwd met Google Sites. De nepsites zijn sindsdien verwijderd door Google.
Wiz stelde dat de campagne, die eerder is opgemerkt aan Apache Tomcat Services met zwakke referenties, evenals gevoelige Apache-stutten en Atlassian Confluence-servers met behulp van de SysRV-botnet, deel uitmaakt van een bredere crypto-scam-infrastructuur, inclusief frauduleuze cryptocurrencuratieplatforms.
De nieuwste campagne is ook gebleken dat hij zich richt op openbaar toegankelijke postgreesql-instanties, waarbij de aanvallers ook gecompromitteerde Apache Tomcat-servers misbruiken om payloads te hosten die zijn op maat gemaakt voor zowel Linux- als Windows-omgevingen. Ook gehackt door de aanvallers is een legitieme Koreaanse transportwebsite voor malware -levering.
Zodra de eerste toegang is verkregen, wordt de kopie van PostgreSQL … van het programma SQL -opdracht geëxploiteerd om willekeurige shell -opdrachten op de host uit te voeren en de externe code -uitvoering te bereiken.
“De aanvaller achter SOCO404 lijkt geautomatiseerde scans uit te voeren voor blootgestelde diensten, met als doel elk toegankelijk toegangspunt te benutten,” zei Wiz. “Hun gebruik van een breed scala aan indress-tools, waaronder Linux-hulpprogramma’s zoals Wget en Curl, evenals Windows-native tools zoals Certutil en PowerShell, benadrukt een opportunistische strategie.”
Op Linux Systems wordt een dropper shell-script direct in het geheugen uitgevoerd om een payload van de volgende fase te downloaden en te starten, terwijl tegelijkertijd stappen ondernemen om concurrerende mijnwerkers te beëindigen om financiële winst te maximaliseren en forensische zichtbaarheid te beperken door logboeken te overschrijven die verband houden met CRON en WTMP.
De payload uitgevoerd in de volgende fase is een binair getal dat dient als lader voor de mijnwerker door contact op te nemen met een extern domein (“www.fastsoco (.) Top”) dat is gebaseerd op Google-sites.
De aanvalsketen voor Windows maakt gebruik van de eerste opdracht na de exploitatie om een Windows Binair, te downloaden en uit te voeren, die, net als de Linux-tegenhanger, functioneert op een lader die zowel de mijnwerker als de Wining0.SYS-stuurprogramma insluit, wordt de laatste gebruikt om NT System Privileges te verkrijgen.
Bovendien probeert de malware de Windows Event Log-service te stoppen en voert het een zelf-deletion-opdracht uit om detectie te ontwijken.
“In plaats van te vertrouwen op een enkele methode of besturingssysteem, werpt de aanvaller een breed net uit en implementeert hij welke tool of techniek in de omgeving beschikbaar is om hun lading te leveren,” zei het bedrijf. “Deze flexibele benadering is kenmerkend voor een brede, geautomatiseerde cryptominingcampagne gericht op het maximaliseren van bereik en persistentie over verschillende doelen.”
De ontdekking van SOCO404 sluit aan bij de opkomst van een nieuwe Linux -dreiging Koske genaamd die vermoedelijk wordt ontwikkeld met hulp van een groot taalmodel (LLM) en gebruikt schijnbaar onschadelijke beelden van panda’s om de malware te verspreiden.
De aanval begint met de exploitatie van een verkeerd geconfigureerde server, zoals JupyterLab, om verschillende scripts te installeren van twee JPEG-afbeeldingen, waaronder een C-gebaseerde rootkit die wordt gebruikt om kwaadaardige malware-gerelateerde bestanden te verbergen met behulp van LD_PRELOAD en een shell-script dat uiteindelijk cryptocurrency-mijnwerkers op het geïnfecteerde systeem downloadt. Beide payloads worden rechtstreeks in het geheugen uitgevoerd om te voorkomen dat sporen op schijf achterblijven.
Het einddoel van Koske is om CPU- en GPU-geoptimaliseerde cryptocurrency-mijnwerkers in te zetten die profiteren van de computationele bronnen van de gastheer om onder andere 18 verschillende munten te ontginnen, zoals Monero, Ravencoin, Zano, Nexa en Tari.
“Deze afbeeldingen zijn polyglot -bestanden, met kwaadaardige payloads die aan het einde zijn toegevoegd. Eenmaal gedownload, de malware -extraheert en voert de kwaadaardige segmenten uit in het geheugen, om antivirushulpmiddelen te omzeilen,” zei Aqua Researcher Assaf Morag.
“Deze techniek is geen steganografie maar eerder polyglot -bestandsmisbruik of kwaadwillende insluiting van het bestand. Deze techniek maakt gebruik van een geldig JPG -bestand met kwaadwillende shellcode verborgen aan het einde. Alleen de laatste bytes worden gedownload en uitgevoerd, waardoor het een stiekeme vorm van polyglot -misbruik is.”
