0

มัลแวร์ Crypto-mining เพิ่มความสามารถในการขโมยรหัสผ่าน Linux

มัลแวร์ Crypto-mining เพิ่มความสามารถในการขโมยรหัสผ่าน Linux


2020-10-07 14:55:49

กลุ่มอาชญากรรมไซเบอร์ เพิ่งอัปเดตเวิร์ม เวอร์ชั่นที่มีความสามารถในการขโมยรหัสผ่านและด้วยเครื่องสแกนเครือข่ายเพิ่มเติมเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่ 

ในขณะที่ส่วนใหญ่รู้จักกันดีในการกำหนดเป้าหมายอินสแตนซ์ Docker เพื่อใช้กับระบบที่ถูกบุกรุกสำหรับการขุด Monero (XMR) โดยไม่ได้รับอนุญาตตอนนี้ได้เปลี่ยนกลยุทธ์โดยการอัปเกรดมัลแวร์ cryptojacking เพื่อรวบรวมข้อมูลรับรองของผู้ใช้ด้วย


ตัวขโมยรหัสผ่านและการอัพเกรดการสแกน

เนื่องจากนักวิจัยพบว่ามัลแวร์เพิ่มขีดความสามารถในการขูดรหัสผ่านหน่วยความจำผ่านmimipy (พร้อมรองรับ Windows / Linux / macOS) และmimipenguin (รองรับ Linux) ซึ่งเป็น Mimikatz แบบโอเพนซอร์สสองตัวที่เทียบเท่ากับการกำหนดเป้าหมาย * NIX เดสก์ท็อป "เช่นเดียวกับข้อมูลรับรอง AWS ที่ถูกขโมยซึ่ง TeamTnT บันทึกไว้ด้วยเช่นกันข้อมูลรับรองเหล่านี้มีแนวโน้มที่จะใช้สำหรับการดำเนินการเพิ่มเติมที่กำหนดเป้าหมายไปยังองค์กรที่จัดการ Docker API ที่ถูกบุกรุก

การขูดรหัสผ่านและการโจรกรรม


กลุ่มนี้ยังได้เพิ่มเครื่องสแกนเครือข่าย zgrab GoLang ไปยังเวิร์ม Black-T crypto-mining ซึ่งเป็นสแกนเนอร์ตัวที่สามที่อยู่ด้านบนของ pnscan และ masscan เครื่องสแกน Masscan ที่ใช้โดย Black-T ได้รับการอัปเดตเพื่อกำหนดเป้าหมายพอร์ต 5555 TCP ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android 


การพัฒนาการโจมตี

บอตเน็ตการขุดคริปโตของกลุ่มนี้ถูกพบเห็นครั้งแรกในเดือนพฤษภาคมโดย MalwareHunterTeam และภายหลังได้รับการตรวจสอบโดย Trend Microซึ่งค้นพบการติดตั้ง Docker ที่กำหนดเป้าหมายความสัมพันธ์

ในเดือนสิงหาคมนักวิจัยของ Cado Security เป็นคนแรกที่ค้นพบคุณสมบัติการขโมยข้อมูลรับรอง AWS ใหม่ของเวิร์ม TeamTNTทำให้เป็นมัลแวร์เข้ารหัสลับตัวแรกที่มีความสามารถนี้

เมื่อเดือนที่แล้ว TeamTNT ถูกสังเกตโดย Intezer ในการโจมตีที่กลุ่มใช้เครื่องมือโอเพนซอร์สWeave Scope ที่ถูกต้องเพื่อแมปกระบวนการทำงานคอนเทนเนอร์และโฮสต์บนเซิร์ฟเวอร์ที่ถูกบุกรุกตลอดจนควบคุมแอปพลิเคชันที่ติดตั้ง

รหัสที่ใช้ขโมยข้อมูลรับรอง AWS ( Cado Security )


ตามที่นักวิจัยพบสิ่งนี้ทำให้สามารถควบคุมโครงสร้างพื้นฐานคลาวด์ของเหยื่อได้อย่างสมบูรณ์เนื่องจาก Weave Scope ทำงานร่วมกับ Docker, Kubernetes, Distributed Cloud Operating System (DC / OS) และ AWS Elastic Compute Cloud (ECS) ด้วยการรวมกลยุทธ์เทคนิคและขั้นตอนเหล่านี้ทั้งหมดเข้าด้วยกัน นักวิจัยจะใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อสแกนหาสภาพแวดล้อมระบบคลาวด์ด้วยการติดตั้ง Kubernetes และ Docker ด้วย API แบบเปิดเผยโดยใช้เครื่องสแกนเครือข่าย masscan, pnscan และ / หรือ zgrab

เมื่อมัลแวร์ติดเชื้อเซิร์ฟเวอร์ที่กำหนดค่าผิดสำเร็จแล้วมันจะปรับใช้ตัวเองในคอนเทนเนอร์ใหม่และติดตั้งไบนารีที่เป็นอันตรายซึ่งจะเริ่มการขุดสำหรับสกุลเงินดิจิตอล Monero (XMR)

ตัวแปรล่าสุดของเวิร์มการเข้ารหัสลับ Black-T จะสแกนระบบที่ติดไวรัสสำหรับ AWS CLI ที่ไม่ได้เข้ารหัสเพื่อจัดเก็บข้อมูลรับรองและข้อมูลการกำหนดค่าเพื่อขโมยข้อมูลรับรอง AWS และเมื่อนักวิจัยค้นพบจะขูดหน่วยความจำสำหรับรหัสผ่านข้อความธรรมดาโดยใช้ * เทียบเท่า NIX Mimikatz .



แปลโดย : kirz.com

อ้างอิงจาก : bleepingcomputer news