Hvordan virker en selv-spreder malware med cryptomining og ransomware kapaciteter lyd til dig? helt hypotetisk? Slet ikke. Denne nye malware stammen eksisterer og er en reel trussel ikke blot for Windows servere, men også til Linux. Det er døbt Xbash.
Mere specifikt, den nye malware stamme kombinerer karakteristika fire malware kategorier - ransomware, botnet, orm, og krypto minearbejdere. Ifølge forskere fra Palo Alto Networks’ Enhed 42, Xbash s ransomware og botnet kapaciteter er rettet mod Linux-systemer, hvor det nye monstrøse malware instrueres til at slette databaser. Som til Windows, Xbash anvendes til cryptomining formål og self-propagation, udnytte kendte sikkerhedshuller i Hadoop, Redis, og ActiveMQ tjenester.
Hvem står bag det nye Xbash Malware?
Tilsyneladende, denne seneste malware stammen er forfattet af en velkendt kriminel kollektiv kendt som jern og Rocke. Gruppen har været meget aktive i løbet af de sidste par år.
Disse cyberkriminelle har været kendt for at udføre massiv ransomware og cryptomining kampagner. Cisco Talos forskere endda navngivet hacking kollektive ”mester i Monero minearbejdere". Der er spor, der tyder på gruppen er baseret i Kina, men dette er ikke blevet bekræftet. Gruppen blev påvist levere ransomware i 2017 og 2018, og senere - cryptocurrency minearbejdere.
Nu, Iron-gruppen har en ny malware belastning i deres hænder, der kombinerer alle tidligere udsendte ondsindede scenarier. Resultatet er en uhyre malware med botnet-lignende struktur og ransomware og cryptomining kapaciteter. Oven i købet, gruppen arbejder i øjeblikket på en orm-lignende funktion for selv-formering, siger forskerne.
Teknisk Oversigt over XBash Malware
Ifølge Palo Alto tekniske analyse, malwaren er udviklet i Python og blev senere omdannet til selvstændige Linux ELF eksekverbare ved at udnytte den legitime værktøj kaldet PyInstaller til levering formål.
XBash er også rettet mod IP-adresser og domænenavne. "Moderne Linux malware såsom Mirai eller Gafgyt normalt generere tilfældige IP-adresser som scanningsdestinationer. derimod, Xbash henter fra sine C2 servere både IP-adresser og domænenavne til service sondering og udnytte,”forskerne bemærkes.
Som allerede nævnt, den nye malware stammen er rettet mod både Windows og Linux. Når målretning Redis, Xbash vil først bekræfte, om tjenesten kører på Windows. Hvis dette bekræftes, det vil så sende ondsindet JavaScript eller VBScript nyttelast med det formål at downloade og udføre en cryptominer til Windows.
En anden teknisk funktion værd at bemærke er Xbash intranet scanning evne hvor sårbare servere med enterprise intranet er målrettet. Det skal bemærkes, at denne funktion ikke er aktiveret endnu, og er kun set i prøver.
Palo Alto forskere har opdaget fire forskellige versioner af Xbash malware hidtil.
Kode og tidsstempel forskelle mellem disse versioner antyder, at den monstrøse malware stadig er under aktiv udvikling. De botnet operationer begyndte omkring maj i år. Forskerne har overvåget 48 indgående transaktioner til Bitcoin tegnebog adresser, der bruges af Xbash forfattere. Det kan betyde, at der 48 ofre for ransomware adfærd særligt.