Das Crypocurrency Mining ist wieder auf dem Höhepunkt. WatchDog, Eine Mining-Malware, die es seit mindestens ein paar Jahren gibt, ist eines der größten und langlebigsten Monero-Bergbauunternehmen. Die Operation ist noch nicht abgeschlossen, und aufgrund seiner Größe, Es ist eine Herausforderung, es zu erfassen, Einheit 42 (Palo Alto) Forscher sagten,.
Die Operation heißt WatchDog, entnommen aus dem Namen eines Linux-Daemons namens watchdogd. Der WatchDog-Mining-Betrieb läuft seit Januar. 27, 2019, und hat zumindest gesammelt 209 Währung (DVDRip), geschätzt, um herum zu sein $32,056 USD. Forscher haben das zumindest festgestellt 476 kompromittierte Systeme, besteht hauptsächlich aus Windows- und NIX-Cloud-Instanzen, führen seit über zwei Jahren gleichzeitig Bergbauarbeiten durch, Der Bericht stellte fest.
WatchDog Monero Miner: Technische Details
- Bestehend aus einem dreiteiligen Go Language-Binärsatz und einer Bash PowerShell-Skriptdatei;
- Jede Binärdatei führt eine bestimmte Funktionalität aus;
- Der Mining-Vorgang wird vom dritten Go-Binärskript unter Windows oder NIX OS gestartet.
„Durch die Verwendung von Go-Binärdateien durch WatchDog können die angegebenen Vorgänge auf verschiedenen Betriebssystemen mit denselben Binärdateien ausgeführt werden, d.h.. Windows und NIX, Solange die Go Language-Plattform auf dem Zielsystem installiert ist,Das Unit42-Team fügte hinzu.
Der WatchDog-Mining-Vorgang liegt in den Händen fähiger Codierer, seit es so lange unter dem Radar fliegt. Die Forscher warnen davor, dass die Kompromissaktivität für Cloud-Konten zum Vorgang hinzugefügt werden könnte, da die Bedrohungsakteure leicht IAM-bezogene Details auf den bereits betroffenen Cloud-Systemen entdecken konnten. Dies ist aufgrund des Root- und Administratorzugriffs möglich, der während der Implementierung des Miners erworben wurde.
Es ist bemerkenswert, dass in 2019 Forscher entdeckten einen Bergmann mit einem ähnlichen Namen, Watchbog.
Die Watchbog-Kampagne zielte auf Linux-Server ab, Ausnutzen anfälliger Software, wie Jenkins, Nexus Repository Manager 3, ThinkPHP, und Linux Supervisord. Die böswillige Kampagne war zuvor Nutzung von Exim- und Jira-Schwachstellen, wie CVE-2.019-10.149. In 2019, Eine Shodan-Suche ergab dies zumindest 1,610,000 Anfällige Exim-Server waren gefährdet. Außerdem, insgesamt 54,000 Atlassian Jira Server waren ebenfalls anfällig, wie durch BinaryEdge Daten zeigten.