Crypocurrency-mijnbouw is opnieuw op zijn hoogtepunt. Waakhond, een mining-malware die al minstens een paar jaar bestaat, is een van de grootste en langstlopende Monero-mijnbouwactiviteiten tot nu toe. De operatie is aan de gang, en vanwege zijn grootte, het is een uitdaging om het te omvatten, Eenheid 42 (Palo Alto) onderzoekers zei.
De operatie heet WatchDog, ontleend aan de naam van een Linux-daemon genaamd watchdogd. De WatchDog-mijnbouwactiviteit loopt sinds Jan.. 27, 2019, en heeft tenminste verzameld 209 valuta (DVDRip), gewaardeerd om in de buurt te zijn $32,056 USD. Onderzoekers hebben dat tenminste vastgesteld 476 gecompromitteerde systemen, voornamelijk samengesteld uit Windows- en NIX-cloudinstances, al meer dan twee jaar op enig moment mijnbouwactiviteiten uitvoeren, het verslag wordt opgemerkt.
WatchDog Monero Miner: Enkele technische gegevens
- Bestaat uit een driedelige binaire Go Language-set en een bash van PowerShell-scriptbestand;
- Elk binair bestand voert een specifieke functionaliteit uit;
- De mining-operatie wordt geïnitieerd door het derde binaire Go-script op Windows of NIX OS.
"WatchDog's gebruik van Go-binaries stelt het in staat om de genoemde bewerkingen uit te voeren op verschillende besturingssystemen met behulp van dezelfde binaries, dat wil zeggen. Windows en NIX, zolang het Go Language-platform op het doelsysteem is geïnstalleerd,”Voegde het Unit42-team toe.
De WatchDog-mijnbouw is in handen van bekwame codeerders, omdat het al zo lang onder de radar vliegt. De onderzoekers waarschuwen dat inbreuk op cloudaccounts aan de operatie kan worden toegevoegd, aangezien de bedreigingsactoren gemakkelijk IAM-gerelateerde details kunnen ontdekken over de reeds getroffen cloudsystemen. Dit is mogelijk vanwege de root- en admin-toegang die is verkregen tijdens de implementatie van de miner.
Het is opmerkelijk dat in 2019 onderzoekers ontdekten een mijnwerker met een vergelijkbare naam, Watchbog.
De Watchbog-campagne was gericht op Linux-servers, misbruik maken van kwetsbare software, zoals Jenkins, Nexus Repository Manager 3, ThinkPHP, en Linux Supervisord. De kwaadaardige campagne was voorheen gebruikmakend van Exim- en Jira-kwetsbaarheden, zoals CVE-2019-10149. In 2019, een Shodan-zoektocht gaf dat tenminste aan 1,610,000 kwetsbare Exim-servers liepen gevaar. Bovendien, een totaal van 54,000 Atlassian Jira-servers waren ook kwetsbaar, zoals aangegeven door data BinaryEdge.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: