Hoe werkt een self-het verspreiden van malware met cryptomining en ransomware mogelijkheden klinken om u? volledig hypothetisch? Helemaal niet. Deze nieuwe malware stam bestaat en is een echte bedreiging, niet alleen voor Windows-servers, maar ook voor Linux. Het wordt ook wel Xbash.
Specifieker, de nieuwe malware stam combineert kenmerken van vier malware categorieën - ransomware, botnet, worm, en crypto mijnwerkers. Volgens de onderzoekers van Unit Palo Alto Networks’ 42, Xbash's ransomware en botnet mogelijkheden zijn gericht op Linux-systemen waar de nieuwe monsterlijke malware wordt geïnstrueerd om databases te wissen. Zoals voor Windows, Xbash wordt gebruikt voor cryptomining doeleinden en zelf-propagatie, gebruik te maken van bekende beveiligingsproblemen in Hadoop, Redis, en ActiveMQ diensten.
Wie zit er achter de Nieuwe Xbash Malware?
Blijkbaar, deze nieuwste malware stam wordt geschreven door een bekende crimineel collectief bekend als Iron and Rocke. De groep is zeer actief geweest in de afgelopen paar jaar.
Deze cybercriminelen zijn bekend voor het uitvoeren van massale ransomware en cryptomining campagnes. Cisco Talos onderzoekers zelfs uitgeroepen tot de hacken collectieve “de kampioen van Monero mijnwerkers". Er zijn aanwijzingen die suggereren dat de groep is gevestigd in China, maar dit is niet bevestigd. De groep werd gedetecteerd leveren in ransomware 2017 en 2018, en later - cryptogeld mijnwerkers.
Nu, het IJzeren groep heeft een nieuwe malware-stam in hun handen waarin alle eerder ingezet kwaadaardige scenario combineert. Het resultaat is een monsterlijke stukje malware botnet structuur en ransomware en cryptomining mogelijkheden. Daarbovenop, de groep is momenteel bezig met een worm-achtige functie voor zelf-propagatie, onderzoekers zeggen.
Technisch overzicht van XBash Malware
Volgens de technische analyse Palo Alto's, de malware wordt ontwikkeld in Python en werd later omgezet in een self-contained Linux ELF executables door gebruik te maken van de legitieme tool genaamd PyInstaller voor de levering doeleinden.
XBash richt zich ook IP-adressen en domeinnamen. "Moderne Linux malware zoals Mirai of Gafgyt meestal het genereren van willekeurige IP-adressen als scanbestemmingen. Daarentegen, Xbash haalt uit de C2 servers zowel IP-adressen en domeinnamen voor dienst indringende en exploiteren," de onderzoekers bekend.
Zoals reeds gezegd, de nieuwe malware stam is gericht op zowel Windows als Linux. Bij targeting Redis, Xbash zal eerst bevestigen of de service wordt uitgevoerd op Windows. Als dit wordt bevestigd, het zal dan sturen kwaadaardige JavaScript of VBScript payload voor het doel van het downloaden en uitvoeren van een cryptominer voor Windows.
Een andere technische functie vermeldenswaard is Xbash intranet scanmogelijkheden waar kwetsbare servers met enterprise intranet zijn gericht. Opgemerkt dient te worden dat deze functie nog niet is ingeschakeld en wordt alleen gezien in monsters.
Palo Alto onderzoekers hebben tot nu toe ontdekt vier verschillende versies van de Xbash malware.
Code en tijdstempel verschillen tussen deze versies hint dat de monsterlijke malware nog steeds actief in ontwikkeling is. Het botnet activiteiten dit jaar begon rond mei. De onderzoekers hebben gecontroleerd 48 inkomende transacties aan de Bitcoin portemonnee adressen die door Xbash auteurs. Dit kan betekenen dat er 48 slachtoffers van ransomware gedrag bijzonder.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: