吉沃运营专员 发表于 2022-12-15 16:50:51

通过 CHAOS RAT 来增强 Linux 挖矿攻击

英文原文:https://www.trendmicro.com/en_us/research/22/l/linux-cryptomining-enhanced-via-chaos-rat-.html
之前已经写过涉及 Linux 和特定云计算实例的加密劫持场景,这些实例被活跃在该领域的攻击者 (例如 TeamTNT) 作为目标。我们发现例程和事件链非常相似,即使它涉及不同的攻击者:初始阶段看到攻击者试图杀死竞争恶意软件、安全产品和其他云中间件。接下来是用于持久性和有效载荷执行的例程,在大多数情况下是 Monero (XMR) 加密货币矿工。对于更复杂的威胁,我们还观察到允许它传播到更多设备的能力。

2022 年 11 月,我们拦截了一个威胁,该威胁的例程略有不同,并结合了一个名为 CHAOS 远程管理工具 (Trojan.Linux.CHAOSRAT) 的高级远程访问木马 (RAT),它基于一个开源项目。

请注意,涉及终止竞争恶意软件 (例如 Kinsing) 和杀死影响加密货币挖掘性能的资源的原始流程保持不变。



恶意软件通过更改 /etc/crontab 文件实现其持久性,这是一个 UNIX 任务计划程序,在这种情况下,它每 10 分钟从 Pastebin 下载一次。



接下来是下载额外的有效载荷:XMRig 矿工、其配置文件、循环 "竞争杀手" 的 shell 脚本,以及最重要的 RAT 本身。





主要下载器脚本和其他有效负载托管在不同位置,以确保活动保持活跃并不断传播。脚本显示,也用于下载有效载荷的主服务器似乎位于俄罗斯,历史 whois 数据显示它还用于云防弹托管 (黑客团队以前采用的作案手法 —— 使用开放 源工具 —— 将他们的攻击集中在云基础设施、容器和 Linux 环境上)。

此命令和控制 (C&C) 服务器仅用于提供有效负载 —— Chaos RAT 连接到另一个 C&C 服务器,可能位于香港 (我们通过 IP 地理定位确定)。运行时,RAT 客户端通过其地址和默认端口连接到 C&C 服务器,使用 JSON Web 令牌 (JTW) 进行授权。

连接并成功授权后,客户端使用命令 /device 将有关受感染机器的详细信息发送到 C&C 服务器。

RAT 是 Go 编译的二进制文件,具有以下功能:


[*]执行反向shell
[*]下载文件
[*]上传文件
[*]删除文件
[*]截图
[*]访问文件资源管理器
[*]收集操作系统信息
[*]重启电脑
[*]关闭电脑
[*]打开一个网址









我们截获的恶意软件家族的一个有趣特征是地址和访问令牌作为编译标志传递并在 RAT 客户端内部进行硬编码,替换主代码变量中的任何数据。





结论
从表面上看,将 RAT 纳入加密货币挖矿恶意软件的感染例程似乎相对较小。然而,鉴于该工具的一系列功能以及这一演变表明基于云的攻击者仍在不断发展其活动这一事实,组织和个人在安全方面保持格外警惕是很重要的。在我们对基于云的加密货币挖矿集团的研究中,我们提供了一些企业可以实施的具体措施和最佳实践,以帮助加强他们的防御态势。

组织还可以考虑强大的云安全技术,例如 Trend Micro Cloud One™ – Workload Security,它有助于保护系统免受漏洞利用、恶意软件和未经授权的更改。使用机器学习 (ML) 和虚拟补丁等技术,它可以自动保护新的和现有的工作负载免受已知和未知的威胁。

Linux Cryptocurrency Mining Attacks Enhanced via CHAOS RAT


SHA-256File nameDetection name
051351f4257d7f87bede9b72455aae5a5b9a8269bfb4bcbecb1501f7a3409957config.jsonPUA.Linux.XMRMiner.AB
759c496b114f9212c610892c5236935cced564a78b3b410bd2d27c9ee6257f42genshinTrojan.Linux.CHAOSRAT.USELVHA22                                                                                                       
52ab96b1d99964502a7946eef39a5f636d8a240c747d43f8568d62cf0e960ae9rn02s62sTrojan.SH.MALXMR.UWELT
7a96d9f7a25a67ec2873bb814cb0ba104d3b7c1651f65ff09d8e1f76cba6fb79solr.shTrojan.SH.MALXMR.UWELT
fd452da0d978514adaeee1dd5227212aad00bf07f2481d335eed77a4ee08a5e8xg546sAdTrojan.SH.MALXMR.UWELT
3928c5874249cc71b2d88e5c0c00989ac394238747bb7638897fc210531b4aabxmrig_setup.exeTrojan.JS.MALXMR.CMPAW

页: [1]
查看完整版本: 通过 CHAOS RAT 来增强 Linux 挖矿攻击