Monero minearbejdere er en af de mest populære cryptocurrency-relaterede malware, der bliver distribueret i angreb kampagner i de sidste par måneder. Hackeren strategier synes at inkludere dem i en masse forskellige typer af infiltration forsøg. det seneste angreb kampagner synes imidlertid at fokusere på en ny type taktik ved at bruge dobbelt Monero minearbejdere sæt mod computernetværk på verdensplan.
Attack Kampagner med Dobbelt Monero minearbejdere Spotted
Computer sikkerhed forskere og analytikere er konstant modtager rapporter for igangværende angreb kampagner, at funktionen cryptocurrency minearbejdere som primære eller sekundære nyttelast. De er blevet populære som kun et lille script der skal indlæses i hukommelsen for at starte de komplekse beregninger. Minearbejderne køre speciel software, der udnytter de tilgængelige hardware ressourcer med henblik på at generere cryptocurrency der videresendes til de kriminelle operatører. Størstedelen af truslerne minen for de mest populære cryptocurrencies: Bitcoin, Monero og Ethereum.
I øjeblikket en ny type angreb kampagner bliver sat mod computernetværk på verdensplan. De kriminelle er primært rettet mod databaseservere hjælp af en opdaget sårbarhed. Den identificerede problem er CVE-2017-10.271 som er beskrevet i advisotry som følgende:
Svaghed i Oracle WebLogic Server-komponenten af Oracle Fusion Middleware (underkomponent: WLS Sikkerhed). Understøttede versioner, der er berørt, er 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 og 12.2.1.2.0. Let udnyttes gjorde det muligt for ikke-godkendt angriber med netværksadgang via T3 til kompromis Oracle WebLogic Server. Succesfulde angreb af denne sårbarhed kan resultere i overtagelse af Oracle WebLogic Server. CVSS 3.0 Base score 7.5 (tilgængelighed påvirkninger). CVSS Vector: (CVSS:3.0/AF:N / AC:L / PR:N / UI:N / S:U / C:N / I:N / A:H).
De hackere bruger exploit-kode, der ofte bruges med automatiserede hacker værktøjer og platforme. Brug automatiserede kommandoer de kriminelle kan målrette tusindvis af netværk på en måde sekunder. Som et resultat af sårbarheden udnytter de kriminelle kan få netværksadgang til serverne, samt evnen til at overtage kontrollen af systemerne. Det interessante faktum er, at mens de traditionelle angreb typisk fokuserer på overhaling kontrol af de berørte servere denne ene inficerer dem med dobbelte Monero minearbejdere.
Dobbelt Monero minearbejdere Payload og dens betydning
Taktik med anvendelse dobbelte Monero minearbejdere er hidtil ukendt, som det anvendes på en ikke-traditionel måde. Efter maskinerne er blevet påvirket af den exploit-kode to separate minearbejder software er anlagt på offeret enheder. Den første er en 64-bit version, som er standardindstillingen, og backup-varianten er en 32-bit kompileret eksekverbare. Hvis den første fil ikke starter derefter angriberne instruere malware for at starte backup mulighed. Ved at analysere kampagnerne afdækket de sikkerhedseksperter, at forskellige versioner af exploit-kode er ved at blive spredt - der er separate test- og endelige versioner. Det betyder, at den enkelte hacker eller kriminel kollektiv bag angrebene inddrages aktivt i den løbende udvikling.
Monero Miners Execution Mønster
Infektionerne begynde efter sårbarheden kontrol har passeret. Den malware script downloader tre filer relateret til minedrift til de inficerede maskiner:
- Javaupd.exe - En minearbejder instans, der er forklædt som en opdatering til Java Runtime Environment (JRE) som ofte installeres af computerbrugere for at køre Java-baserede applikationer. Ved at udgive den populære app virussen gør opdagelsen vanskeligere som i nogle tilfælde tjenesten kan anvende flere hardware ressourcer under dens udførelse.
- Startup.cmd - Dette er den automatisk start modul, der er ansvarlig for vedvarende tilstand af udførelse. Det bruges til automatisk at starte malware kode og forhindre andre programmer i at forstyrre de minearbejdere.
- 3.exe - En sekundær ondsindet instans.
Den automatiske start komponent forbundet med Monero minearbejdere er placeret på systemet i mappen Start. Efter at den udføres, og starter en Powershell kommando, der skaber to planlagte opgaver:
- Den første opgave henter de nyeste versioner af Monero minearbejder tilfælde fra en hacker-kontrolleret websted. Strengen showcases, at opgaven er navngivet som “Oracle Java opdatering” og er indstillet til at udføre alle 80 minutter for at negere eventuelle netværksproblemer.
- Den anden opgave er opkaldt “Oracle Java” og er indstillet til at udføre daglige og kontrollere, om den første opgave med succes har gennemført.
Efter opgaverne have været fuldstændig kontrolscriptet lancerer det pågældende script ved at køre den sekundære nyttelast (3.exe). Den kontrollerer, om systemet er i stand til at køre 64-bit eller 32-bit version af koden og derefter downloader og kører den relevante fil. En ny fil er hentet som kaldes LogonUI.exe der er registreret som en Windows service og kaldte “Microsoft Telemetri”. Den relevante version (32 eller 64-bit) er lagt i denne fase af malware initiering.
Konsekvenser af de Dobbelt Monero minearbejdere
De sikkerhedseksperter opmærksom på, at de installerede Monero minearbejdere kan have en meget kraftig indvirkning på offeret computerens ydeevne. Som to særskilte tilfælde er installeret på værterne ofrene kan ikke være i stand til at fjerne dem alle på en effektiv måde. Vi minder vore læsere, at den vedvarende tilstand af installationen også kan relateres til ændringer i Windows-registreringsdatabasen og operativsystem konfigurationsmuligheder. Sådanne ændringer kan gøre det meget vanskeligt eller endog umuligt at fjerne infektioner under anvendelse af manuelle metoder. Den sikkerhed analytikere bemærke, at de Monero minearbejdere er udstyret med en informationsindsamling modul, der har evnen til at scanne de inficerede værter for andre malware samt.
Som angreb kampagner er stadig i gang, og den kriminelle identitet er stadig ukendt. Vi formoder, at opdaterede versioner kan bringe yderligere funktionalitet, forårsage endnu mere farlig systemændringer og kan også anvendes som mekanismer nyttelast levering.
Vi minder vore læsere, at de kan beskytte sig mod faren ved at bruge en kvalitet anti-spyware løsning.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter
Martin Beltov
Martin dimitterede med en grad i Publishing fra Sofia Universitet. Som en cybersikkerhed entusiast han nyder at skrive om de nyeste trusler og mekanismer indbrud.
Følg mig: