Monero mijnwerkers zijn een van de meest populaire cryptogeld gerelateerde malware die wordt in de aanval campagnes verspreid zijn in de afgelopen maanden. De hacker strategieën lijken ze op te nemen in een heleboel verschillende soorten infiltratie pogingen. Echter, de laatste aanval campagnes lijken zich te richten op een nieuw type van tactiek door het gebruik van dubbele Monero mijnwerkers tegen computer netwerken wereldwijd.
Attack Campagnes met Double Monero Miners Gespot
Computer security onderzoekers en analisten zijn voortdurend op het ontvangen van rapporten voor de lopende aanval campagnes die cryptogeld mijnwerkers als primaire of secundaire payloads voorzien. Ze zijn populair geworden als slechts een klein script moet in het geheugen moet worden geladen om de complexe berekeningen te starten. De mijnwerkers draaien speciale software die de beschikbare hardware resources te gebruiken om cryptogeld die wordt doorgestuurd naar de criminele exploitanten te genereren. De meerderheid van de bedreigingen mijn voor de populairste cryptocurrencies: Bitcoin, Monero en Ethereum.
Op het moment dat een nieuw type aanval campagnes wordt ingesteld tegen de computer netwerken wereldwijd. De criminelen zijn primair gericht databaseservers met het ontdekte kwetsbaarheid. De geïdentificeerde probleem is CVE-2017-10.271 die beschreven in de volgende advisotry:
Door een beveiligingslek in de Oracle WebLogic Server component van Oracle Fusion Middleware (subonderdeel: WLS Beveiliging). Ondersteunde versies die worden beïnvloed zijn 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 en 12.2.1.2.0. Eenvoudig te exploiteren kwetsbaarheid maakt het mogelijk niet-geverifieerde aanvaller met netwerktoegang via T3 Oracle WebLogic Server compromis. Succesvolle aanvallen van dit beveiligingslek kan leiden tot overname van Oracle WebLogic Server. CVSS 3.0 Base Score 7.5 (Beschikbaarheid impacts). CVSS Vector: (CVSS:3.0/VAN:N / AC:L / PR:N / UI:NS:U / C:N / I:N / A:H).
De hackers gebruiken code die vaak wordt gebruikt met geautomatiseerde hacker toolkits en platforms benutten. Met behulp van geautomatiseerde commando's de criminelen kunnen richten duizenden netwerken bij wijze van seconden. Als gevolg van de kwetsbaarheid exploiteert de criminelen kan het netwerk toegang tot de servers te krijgen, alsmede de mogelijkheid om de controle over de systemen over te nemen. Het interessante feit is dat terwijl de traditionele aanvallen richten zich doorgaans op het inhalen van de controle van de getroffen servers deze infecteert hen met een dubbele Monero mijnwerkers.
De Double Monero Miners Payload en de betekenis ervan
Mikt met dubbelzijdig Monero mijnwerkers is nieuw omdat het wordt gebruikt in een niet-traditionele manier. Nadat de machines zijn beïnvloed door de exploit code twee afzonderlijke mijnwerker software worden ingesteld op het slachtoffer apparaten. De eerste is een 64-bits versie, die is de standaardoptie en de back-variant is een 32-bit gecompileerde uitvoerbare. Als het eerste bestand niet wil starten dan de aanvallers instrueren de malware naar de optie backup te starten. Door het analyseren van de campagnes blootgelegd de security experts die verschillende versies van de exploit code worden verspreid - er zijn aparte testen en definitieve versies. Dit betekent dat de individuele hacker of strafrechtelijke collectief achter de aanslagen actief betrokken zijn bij de verdere ontwikkeling.
Monero Miners uitvoeringspatroon
De infecties beginnen na de kwetsbaarheid controle is gepasseerd. De malware script downloadt drie dossiers met betrekking tot de mijnbouw om de gecompromitteerde machines:
- Javaupd.exe - Een mijnwerker exemplaar dat is vermomd als een update voor de Java runtime environment (JRE) die vaak wordt geïnstalleerd door computergebruikers om Java-gebaseerde applicaties te draaien. Uit naam van de populaire app het virus maakt ontdekking moeilijker zoals in sommige gevallen de dienst kan meer hardware resources te gebruiken tijdens de uitvoering.
- startup.cmd - Dit is de auto-start module die verantwoordelijk is voor de hardnekkig stand van uitvoering. Het wordt gebruikt om de malware code automatisch en voorkomen dat andere toepassingen stoort de mijnwerkers.
- 3.exe - Een tweede kwaadaardige instantie.
Het automatisch starten component behorende bij de Monero mijnwerkers geplaatst op het systeem in de map Opstarten. Na dat het wordt uitgevoerd en start een Powershell commando dat twee geplande taken creëert:
- De eerste taak downloadt de nieuwste versies van de Monero mijnwerker instances van een hacker gestuurde website. De string toont dat de taak wordt genoemd als “Oracle Java Update” en is ingesteld om elke uit te voeren 80 minuten in om eventuele problemen met het netwerk te ontkennen.
- De tweede taak is vernoemd “Oracle Java” en is ingesteld om dagelijks uit te voeren en te controleren of de eerste taak is voltooid.
Nadat de taken uit te voeren zijn geweest de controle script lanceert de juiste script door het uitvoeren van de secundaire nuttige lading (3.exe). Het controleert of het systeem in staat om de 64-bits of 32-bits versie van de code en dan downloads lopen is en loopt het betreffende bestand. Een nieuw bestand wordt gedownload die Logonui.exe die is geregistreerd als een Windows-service en de naam wordt genoemd “Microsoft Telemetrie”. De juiste versie (32 of 64-bits) wordt geladen tijdens deze fase van de malware inleiding.
Gevolgen van de Double Monero Miners
De security experts er rekening mee dat de geïnstalleerde Monero mijnwerkers een zeer krachtige invloed op de prestaties van het slachtoffer computer kan hebben. Als twee afzonderlijke exemplaren op de hosts zijn geïnstalleerd slachtoffers mogelijk niet in staat om ze allemaal op efficiënte wijze verwijderen. We herinneren onze lezers dat de aanhoudende toestand van de installatie ook kan worden gerelateerd aan veranderingen in het Windows-register en besturingssysteem configuratieopties. Dergelijke veranderingen kunnen maken het zeer moeilijk of zelfs onmogelijk om de infecties te verwijderen met behulp van handmatige methoden. De security analisten er rekening mee dat de Monero mijnwerkers is voorzien van een informatie verzamelen module die het vermogen om de geïnfecteerde gastheren voor andere malware scannen en heeft.
Omdat de aanval campagnes zijn nog aan de gang en de criminelen identiteit is nog onbekend. We vermoeden dat bijgewerkte versies extra functionaliteit kunnen brengen, leiden tot nog gevaarlijker veranderingen in het systeem en kan ook worden gebruikt als payload mechanismen.
We herinneren onze lezers dat ze zich kunnen beschermen tegen gevaar door gebruik te maken van een kwaliteit anti-spyware oplossing.
Spy Hunter scanner zal alleen de bedreiging op te sporen. Als u wilt dat de bedreiging voor automatisch verwijderd, je nodig hebt om de volledige versie van de anti-malware gereedschap kopen.Ontdek meer over SpyHunter Anti-Malware Tool / Hoe te verwijderen SpyHunter
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: