| 0 |
|
Группа киберпреступников, предположительно базирующаяся в Китае, распространяет новое ПО Antd для майнинга криптовалюты на системах под управлением Linux.
Обнаружившие её исследователи из китайской фирмы Intezer сообщили, что эта, так называемая Pacha Group, использует атаки методом грубой силы для взлома сервисов, таких как WordPress или PhpMyAdmin. После проникновения в приложение, хакеры продвигаются дальше, в базовый сервер, где и размещают майнинговое ПО, которое Intezer окрестила Linux.GreedyAntd (сокращённо, Antd).
Первый случай обнаружения Antd пришёлся на сентябрь 2018 г. Intezer заявляет, что исходный код этой программы перекрывается с исходным кодом другого вредоносного штамма – Linux.HelloBot, обнаруженного в январе этого года и также приписываемого Pacha Group.
По мнению экспертов, препарировавших эту программу, в Antd используется довольно сложный код с модульной структурой, ориентированный на работу под управлением нескольких серверов.
«Мы можем предположить, что главная причина наличия такой широкой инфраструктуры, включающей большое количество компонентов, состоит в том, чтобы сделать её более устойчивой к отключениям серверов, а также обеспечить фактор модульности, – считает команда Intezer. – Кроме того, наличие такого количества взаимосвязанных друг с другом компонентов делает гораздо более трудоёмкой задачу очистки каждой скомпрометированной системы».
Удалению вируса также препятствует его нетипичное поведение. Antd не использует, как другие вредоносные программы, замаскированный cronjob для закрепления в инфицированной системе. Вместо этого он добавляет службу Systemd, выглядящую как обычный сервис mandb. «Чёрный ход» Antd очень трудно заметить, если не знать точно, что надо искать, и тогда серверы будут заражаться вновь и вновь.
Модуль криптомайнинга в Antd команда Intezer идентифицировала как модифицированный вариант XMRig, использующего протокол Stratum, который не хранит свои настройки и адрес кошелька в локальных файлах, а прячет их с помощью прокси-сервиса. Это делает отслеживание действий и доходов Pacha Group значительно более сложным, по сравнению с другими криптомайнинговыми группами. Этот модуль также «убивает» обнаруженные в системе процессы конкурирующих криптомайнеров.
Для защиты от новой угрозы владельцам Linux-серверов рекомендуют своевременно обновлять установленные приложения и не использовать лёгких паролей для своих административных учётных записей.
Ready, set, buy! Посібник для початківців - як придбати Copilot для Microsoft 365
| 0 |
|
