PyCryptoMinerは、LinuxマシンをMonero用にマイニングすることを目標としています

LinuxベースのMoneroマイナーボットネット, 吹き替え済み PyCryptoMiner セキュリティ研究者によって発見されました. 暗号通貨マイナーに基づくボットネットは、少なくともサイバー犯罪者を獲得しています 158 に相当するモネロ $63,000.

PyCryptoMiner Pythonで記述されているため、ボットネットのオペレーターはPythonを監視下に置くことができます。.

「「バイナリマルウェアの代替とは異なり, スクリプト言語ベースのマルウェアは、簡単に難読化できるため、本質的に回避性が高くなります。. また、正当なバイナリによって実行されます, これは、ほぼすべてのLinux/Windowsディストリビューションに同梱されているPERL/Python / Bash / Go/PowerShellインタープリターの1つである可能性があります。,」F5ネットワークの研究者は 報告.

このボットネットを操作している人は誰でも、SSHポートが公開されているLinuxシステムを標的としたブルートフォース攻撃を使用しています。. パスワードが明らかになった場合、サイバー犯罪者はPythonスクリプトを展開し、Moneroマイナーマルウェアをインストールします.

研究者はまた、サイバー犯罪者がキャンペーンでJBossサーバーのエクスプロイトを使用していると信じています。 CVE-2017-12149. でも, ブルートフォースの展開とSSHの悪用も、サイバー犯罪者の攻撃兵器の一部です。.

興味深いのは、 PyCryptoMiner ボットネットは、Pastebinの投稿から受信するため、コマンドアンドコントロールサーバーのハードコードされたアドレスを持っていません. ボットネットはスキャナーノードとしても機能します。つまり、SSHポートが開いているLinuxマシンをインターネットでスキャンします。, SSHログインを推測しようとします. 成功した場合, マルウェアは、コマンドおよび制御サーバーに接続してより多くのPythonコードを実行する、base64でエンコードされた単純なスピアヘッドPythonスクリプトを使用します, 研究者は言った. スクリプト自体はメインコントローラーボットに配置され、次のアクティビティを実行できます:

• cronジョブとして登録することにより、侵入先のマシンで永続的になります ( Unixライクなコンピュータオペレーティングシステムの時間ベースのジョブスケジューラ);
• CPUの数に関する情報など、侵害されたマシンに関する詳細を収集する.
• 収集された情報は通常、コマンドアンドコントロールサーバーに送信されます.

PyCryptoMinerボットネットアクティビティ

どうやら, ボットネットは現在非アクティブです, サーバーがオフラインであるため. それにもかかわらず, これは、新しい悪意のある暗号マイニングキャンペーンで再アクティブ化されないという意味ではありません. ボットネットオペレーターがPastebinの投稿を更新して、新しいコマンドおよび制御サーバーを指すようにした場合, その後、ボットネットをすばやくオンラインに戻すことができます.

すでに述べたように, ボットネットは、次の潜在的なエクスプロイトの可能性を掘り下げるようにも設計されています CVE-2017-12149, 最近公開された脆弱性. これは、脆弱なJBossサーバーが次のターゲットになる可能性があることを意味します PyCryptoMiner.