Wie funktioniert ein Selbst Verbreitung von Malware mit cryptomining und Ransomware-Funktionen klingen zu Ihnen? völlig hypothetische? Ganz und gar nicht. Dieser neue Malware-Stamm existiert und ist eine echte Bedrohung nicht nur auf Windows-Servern, sondern auch auf Linux. Es wird genannt Xbash.
Genauer, der neue Malware-Stamm kombiniert Merkmale von vier Malware-Kategorien - Ransomware, Botnet, Wurm, und Krypto-Bergleute. Nach Ansicht der Forscher von Palo Alto Networks’ Unit 42, Xbash der Ransomware und Botnet-Funktionen werden auf Linux-Systemen gerichtet, wo die neue monströse Malware angewiesen wird, Datenbanken löschen. Wie für Windows, Xbash für cryptomining Zwecke und Selbstausbreitung verwendet, nutzen bekannte Sicherheitslücken in Hadoop, Redis, und ActiveMQ Dienstleistungen.
Wer verbirgt sich hinter dem neuen Xbash Malware?
Offenbar, dieser neueste Malware-Stamm wird von einer bekannten kriminellen kollektiven bekannt als Iron and Rocke Autor. Die Gruppe hat sich in den letzten paar Jahren sehr aktiv gewesen.
Diese Cyber-Kriminelle wurden für die Durchführung von massiver Ransomware und cryptomining Kampagnen bekannt. Cisco Talos Forscher auch die Hacker-Kollektiv namens „der Champion der Monero Bergleute". Es gibt Hinweise darauf, dass die Gruppe vorschlagen, in China basiert, aber das hat sich nicht bestätigt. Die Gruppe wurde in Liefern detektiert Ransomware 2017 und 2018, und später - Kryptowährung Bergleute.
Jetzt, die Eisengruppe hat einen neuen Malware-Stamm in ihren Händen, die alle zuvor eingesetztes Schad Szenarien kombiniert. Das Ergebnis ist eine ungeheure Stück Malware mit Botnet artige Struktur und Ransomware und cryptomining Fähigkeiten. Hinzu kommt, dass, die Gruppe arbeitet derzeit an einer wurmartige Funktion zur Selbstausbreitung, Forscher sagen,.
Technische Übersicht über XBash Malware
Nach Palo Alto technischen Analyse, die Malware wird in Python entwickelt und später in sich geschlossene Linux ELF-Executables umgewandelt, indem die legitimen Werkzeug nutzt PyInstaller für die Lieferung Zwecke genannt.
XBash zielt auch IP-Adressen und Domainnamen. "Moderne Linux-Malware wie Mirai oder Gafgyt in der Regel zufällige IP-Adressen als Scanziele erzeugen. Im Gegensatz, Xbash holt aus seinen C2-Servern sowohl IP-Adressen und Domain-Namen für den Dienst Sondieren und Nutzung," die Forscher bekannt.
Wie bereits erwähnt, der neue Malware-Stamm zielt sowohl Windows als auch Linux. Wenn Targeting Redis, Xbash wird zunächst bestätigen, ob der Dienst unter Windows läuft. Wenn dies bestätigt wird, es wird dann bösartige JavaScript oder VBScript Nutzlast zum Zweck des Herunterladens und Ausführen eines cryptominer für Windows senden.
Ein weiteres technisches Merkmal erwähnenswert ist, Xbash Intranet Scanfunktion wo gefährdete Server mit Enterprise Intranet gezielt. Es sollte beachtet werden, dass diese Funktion noch nicht aktiviert wurde und wird nur in Proben gesehen.
Palo Alto Forscher haben bisher vier verschiedene Versionen der Xbash Malware entdeckt.
Code und Zeitstempel Unterschiede zwischen diesen Versionen deuten, dass die monströse Malware noch aktiv weiterentwickelt wird. Die Botnet-Operationen begann um Mai dieses Jahres. Die Forscher haben überwacht 48 eingehende Transaktionen an den Bitcoin Wallet-Adressen von Xbash Autoren verwendet. Dies kann bedeuten, dass es 48 Opfer des Ransomware Verhalten besonders.