悪名高いSatoriボットネットが再び野生に巻き込まれました, 今回はイーサリアム暗号通貨のリグマイニングをターゲットにしています. 研究者はこの最新のイテレーションをSatori.Coin.Robberと吹き替えました.
Satoriは、Huaweiの欠陥とRealtekSDKベースのデバイスのバグを悪用するボットネットです。. これらの脆弱性は、コンピューターを攻撃して感染させるために悪用されています. ボットネット自体は、壊滅的なMiraiIoTボットネットの上に作成されました. Satoriのオペレーターは、これら2つの脆弱性だけを悪用して、数百のデバイスを標的にすることに成功しました。, 研究者は報告した.
SatoriのオペレーターがSatori.Coin.Robberの操作でEthereum暗号通貨の盗難に切り替える
セキュリティ研究者は攻撃に迅速に対応し、12月にコマンドアンドコントロールサーバーを停止しましたが, 2017, 同じオペレーターが最新のSatori攻撃の背後にいる可能性が非常に高い. 脅威アクターは、現時点で最もトレンディなもの、つまり暗号通貨にシフトしました.
「「から始まる 2018-01-08 10:42:06 GMT + 8, Satoriの後継バリアントの1つに気づきました (Satori.Coin.Robberと名付けます) ポートでボットネット全体を再確立し始めました 37215 と 52869,」新しい攻撃を発見したNetlabの研究者は言った.
これらの新しい攻撃は、その性質上非常にユニークです. 新しいSatoriバリアントは、管理ポートを介してインターネット上のさまざまなマイニングホストにハッキングします 3333 ClaymoreMinerソフトウェアを実行します. 次にマルウェアは、ホスト上のウォレットアドレスを独自のウォレットアドレスに置き換えます. 侵害されたデバイスは主にWindowsを実行しています.
研究者たちは、Satori.Coin.Roberが現在活発に採掘していると言っています. マルウェアの平均計算能力も 1606 過去数日間のMH/s. サイバー犯罪者のアカウントが蓄積されています 0.1733 1日でイーサリアム.
不思議なことに, ボットネットの作成者が自分のメールアドレスを残しました, 次のメモに表示されます:
Satori開発者はこちら, このボットについて心配する必要はありません。現在、悪意のあるパケット化の目的はありません。. 私はcurtain@riseup.netで連絡することができます
マイニング部分に関しては–マイニングリグが悪用される場合, Satori.Coin.Robberボットネットは3つのペイロードをリリースします. 最初のペイロードは、リグのマイニング状態に関する情報を収集するパッケージの形式です。. 2番目のペイロードは、reboot.batファイルを更新することでウォレットアドレスを置き換えます. 最後のペイロードは、被害者によってマイニングされたイーサリアムの盗難につながる新しいアドレスでホストデバイスを再起動します.
詳細については, 全体を読む 報告.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: