Los cazadores de amenazas han revelado dos campañas de malware diferentes que han dirigido vulnerabilidades y configuraciones erróneas en entornos en la estrato para entregar mineros de criptomonedas.
Los grupos de actividad de amenazas han sido nombradas en código SOCO404 y El toque de Por las empresas de seguridad en la estrato Wiz y Aqua, respectivamente.
SOCO404 “Se dirige a los sistemas Linux y Windows, implementando malware específico de plataforma”, dijeron los investigadores de Wiz Maor Dokhanian, Shahar Dorfman y Avigayil Mechtinger. “Utilizan el proceso disfrazados para disfrazar la actividad maliciosa como procesos legítimos del sistema”.
La actividad es una narración al hecho de que las cargas avíos están integradas en páginas falsas de 404 HTML alojadas en sitios web construidos utilizando sitios de Google. Los sitios falsos han sido retirados por Google.
Wiz postuló que la campaña, que se ha observado anteriormente yendo luego de los servicios de Apache Tomcat con credenciales débiles, así como los puntales de Apache susceptibles y los servidores de confluencia Atlassian que utilizan la botnet SYSRV, es parte de una infraestructura cripto-scam más amplia, incluidas las plataformas de comercio de criptomonencias de fraudulentos.
Además se ha incompatible que la última campaña se dirige a instancias de PostgreSQL de ataque manifiesto, y los atacantes asimismo abusan de los servidores Apache Tomcat comprometidos para introducir cargas avíos adaptadas para entornos de Linux y Windows. Además pirateado por los atacantes hay un sitio web de transporte coreano legal para la entrega de malware.
Una vez que se obtiene el ataque auténtico, la copia de PostgreSQL … del comando SQL del software se explota para ejecutar comandos de shell arbitrarios en el host y ganar la ejecución del código remoto.
“El atacante detrás de SOCO404 parece estar realizando escaneos automatizados para servicios expuestos, con el objetivo de explotar cualquier punto de entrada accesible”, dijo Wiz. “Su uso de una amplia tono de herramientas de entrada, incluidas las utilidades de Linux como WGET y CURL, así como herramientas nativas de Windows como Certutil y PowerShell, destaca una organización oportunista”.
En Linux Systems, un script de shell dropper se ejecuta directamente en la memoria para descargar y iniciar una carga útil de la próxima etapa, mientras que simultáneamente toma medidas para terminar los mineros en competencia para maximizar la provecho financiera y amojonar la visibilidad forense al sobrescribir los registros asociados con Cron y WTMP.
La carga útil ejecutada en la próximo etapa es un binario que sirve como cargador para el minero al contactar un dominio forastero (“www.fastsoco (.) Top”) que se plinto en sitios de Google.
La esclavitud de ataque para Windows aprovecha el comando auténtico posterior a la explotación para descargar y ejecutar un binario de Windows, que, al igual que su contraparte de Linux, funciona similar a un cargador que incrusta tanto el minero como el compensador Winring0.sys, este zaguero se usa para obtener privilegios NT System.
Por otra parte de eso, el malware intenta detener el servicio de registro de eventos de Windows y ejecuta un comando de autoselección para esquivar la detección.
“En oficio de echarse en brazos en un solo método u sistema activo, el atacante alabarda una amplia red e implementa la útil o técnica habitable en el entorno para entregar su carga útil”, dijo la compañía. “Este enfoque flexible es característico de una amplia y automatizada campaña de criptominación centrada en maximizar el significación y la persistencia en objetivos variados”.
El descubrimiento de SOCO404 se encoge con la aparición de una nueva amenaza de Linux denominada Koske que se sospecha que se desarrolla con la ayuda de un maniquí de jerga espacioso (LLM) y utiliza imágenes aparentemente inocuas de pandas para propagar el malware.
El ataque comienza con la explotación de un servidor mal configurado, como Jupyterlab, para instalar varios scripts de dos imágenes JPEG, incluido un RootKit basado en C que se usa para ocultar archivos malos relacionados con malware utilizando ld_preload y un script de shell que finalmente descarga mineros de criptomonedas en el sistema infectado. Ambas cargas avíos se ejecutan directamente en la memoria para evitar dejar rastros en el disco.
El objetivo final de Koske es desplegar mineros de criptomonedas optimizados por CPU y GPU que aprovechen los capital computacionales del huésped para extraer 18 monedas distintas, como Monero, Ravencoin, Zano, Nexa y Tari, entre otras.
“Estas imágenes son archivos políglotes, con cargas avíos maliciosas adjuntas hasta el final. Una vez descargadas, el malware extrae y ejecuta los segmentos maliciosos en la memoria, evitando las herramientas antivirus”, dijo el investigador de Aqua Assaf Morag.
“Esta técnica no es esteganografía, sino más admisiblemente el exceso de archivos políglot o la incrustación de archivos maliciosos. Esta técnica utiliza un archivo JPG válido con shellcode bellaco oculto al final. Solo se descargan y ejecutan los últimos bytes, lo que lo convierte en una forma astuta de exceso de políglota”.
