Come fa un di malware auto-diffusione con funzionalità cryptomining e ransomware suono a voi? interamente ipotetica? Affatto. Questo nuovo ceppo di malware esiste ed è una vera e propria minaccia non solo per i server Windows, ma anche per Linux. Si è doppiato Xbash.
Più specificamente, il nuovo ceppo di malware unisce le caratteristiche di quattro categorie di malware - ransomware, botnet, verme, e minatori crypto. Secondo i ricercatori dell'Unità di Palo Alto Networks’ 42, capacità di ransomware e botnet di Xbash sono rivolti a sistemi Linux in cui il nuovo malware mostruosa è incaricato di eliminare i database. Come per Windows, Xbash viene utilizzato per scopi cryptomining e auto-propagazione, sfruttando note vulnerabilità di sicurezza in Hadoop, Redis, e servizi di ActiveMQ.
Chi c'è dietro il nuovo Xbash malware?
Apparentemente, questo ultimo ceppo di malware è stato scritto da un collettivo criminale noto noto come Ferro e Rocke. Il gruppo è stato molto attivo durante gli ultimi due anni.
Questi criminali sono stati conosciuti per la realizzazione massiccia ransomware e cryptomining campagne. ricercatori Cisco Talos anche chiamato il hacker collettivo “il campione di minatori Monero". Ci sono indizi che suggeriscono il gruppo si basa in Cina, ma questo non è stato confermato. Il gruppo è stato rilevato consegna ransomware in 2017 e 2018, e più tardi - minatori criptovaluta.
Ora, il gruppo di ferro ha un nuovo ceppo di malware nelle loro mani che unisce tutti gli scenari maligni distribuiti in precedenza. Il risultato è un pezzo mostruoso malware con struttura simile botnet e le capacità ransomware e cryptomining. Per di più, il gruppo sta attualmente lavorando su una caratteristica vermiforme per l'auto-propagazione, dicono i ricercatori.
Panoramica tecnica di XBash malware
Secondo l'analisi tecnica di Palo Alto, il malware viene sviluppato in Python ed è stata successivamente trasformata in eseguibili Linux ELF indipendenti sfruttando lo strumento legittimo chiamato PyInstaller a fini di consegna.
XBash è anche il targeting gli indirizzi IP e nomi di dominio. "Moderna di malware Linux come Mirai o Gafgyt solito generare indirizzi IP casuali come destinazioni di scansione. Al contrario, Xbash recupera dai suoi server C2 entrambi gli indirizzi IP ei nomi di dominio per il servizio di sondaggio e di sfruttamento,”i ricercatori noto.
Come già accennato, il nuovo ceppo di malware si rivolge sia Windows che Linux. Quando ci si rivolge Redis, Xbash in primo luogo verificare se il servizio è in esecuzione su Windows. Se questo è confermato, sarà poi inviare dannoso JavaScript o VBScript payload allo scopo di scaricare ed eseguire un cryptominer per Windows.
Un'altra caratteristica degna di nota è tecnico capacità di scansione intranet Xbash dove sono mirati server vulnerabili con le imprese intranet. Va notato che questa caratteristica non è stato ancora attivato ed è visto solo nei campioni.
i ricercatori di Palo Alto hanno scoperto quattro diverse versioni del malware Xbash finora.
Codice e timestamp differenze tra queste versioni suggeriscono che il malware mostruosa è ancora in fase di sviluppo attivo. Le operazioni di botnet iniziato intorno a maggio di quest'anno. I ricercatori hanno monitorato 48 le transazioni in entrata agli indirizzi portafoglio Bitcoin utilizzati da autori Xbash. Questo può significare che non ci 48 vittime del comportamento ransomware particolarmente.