Et nyt Linux-ormeligt botnet er blevet observeret i naturen. Kaldes Abcbot, truslen er rettet mod "relativt nye cloud-tjenesteudbydere (CPS'er) med cryptocurrency-mining malware og cryptojacking-angreb,” ifølge Trend Micros resultater.
Malwaren implementerer kode, der fjerner applikationer og tjenester hovedsageligt i Huawei Cloud, såsom den såkaldte hostguard-tjeneste, der opdager sikkerhedsproblemer og beskytter systemet. Sikkerhedsforskere fra Network Security Research Lab kl 360 også forudsat tekniske detaljer om den nye Linux malware.
Abcbot teknisk overblik
Abcbot blev først opdaget af Tencent-forskere i 2020 i en kampagne, der målrettede containermiljøer. De nyere eksempler på malware indeholder den samme oprettelse af firewallregler, som var til stede i sidste års eksempler. "Imidlertid, det er blevet kommenteret, så der oprettes ingen regel. Vi har observeret, at de nyere prøver kun er rettet mod skymiljøer,”Trend Micro påpegede.
Det er bemærkelsesværdigt, at Abcbots operatører nu søger efter specifikke offentlige nøgler, der vil hjælpe dem med at eliminere deres konkurrence fra det inficerede system og opdatere deres egne nøgler. Dette viser, at trusselsoperatørerne ønsker at opnå en omfattende desinficering af det målrettede operativsystem. Malwaren forsøger at lokalisere både tidligere infektioner og sikkerhedsværktøjer, der kan forhindre dens ondsindede drift. Desuden, den bruger også "enkle, men effektive kommandoer til at rydde op, efter at den har udført sin infektionsrutine."
Når alle unødvendige brugere er fjernet fra systemet, malwaren skaber flere egne brugere, en adfærd, der kun er set delvist i tidligere prøver rettet mod skyen. Denne kampagne, dog, skaber flere brugere med generiske navne som "system" og "logger." Formålet med disse navne er at narre en uerfaren Linux-analytiker til at tro, at brugerne er legitime. De ondsindede brugere får også administrative beføjelser.
En anden interessant opdagelse er, at "hacking-teamet tilføjer også deres egen ssh-rsa-nøgle for at gøre det muligt for dem gentagne gange at logge ind på det inficerede system." Når systemændringer er udført, særlige tilladelser tilføjes for at forbyde yderligere ændringer på disse filer. Dette gøres for at sikre, at de oprettede brugere ikke kan fjernes eller ændres.
Abcbots operatører scanner også det målrettede system for specifikke sårbarheder og sikkerhedshuller, Herunder:
SSH svage adgangskoder
Sårbarhed i Oracle WebLogic Server-produktet fra Oracle Fusion Middleware (CVE-2020-14882)
Redis uautoriseret adgang eller svage adgangskoder
PostgreSQL uautoriseret adgang eller svag adgangskode
SQLServer svag adgangskode
MongoDB uautoriseret adgang eller svag adgangskode
Filoverførselsprotokol (FTP) Svagt kodeord
Slutmålet med operationen er at droppe minearbejdere i kryptovaluta, som betragtes som de mest installerede nyttelaster i Linux. Trend Micro-forskere kontaktede Huawei Media Team med deres resultater forud for deres offentliggørelse, og afventer i øjeblikket virksomhedens bekræftelse eller svar.
I oktober 2021, forskere afslørede en ny, tidligere uset malware familie rettet mod Linux-systemer. Dubbed FontOnLake af ESET -forskere, og HCRootkit af Avast og Lacework, malware har rootkit -muligheder, avanceret design og lav forekomst, tyder på, at det primært er beregnet til målrettede angreb.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: