Monero kripto para madencileri ve DDOS IRC botları ile SHC (Shell komut dosyası derleyicisi) kullanılarak oluşturulan yeni bir Linux kötü amaçlı yazılım indiricisi vahşi olarak tespit edildi.
Saldırıyı keşfeden ASEC araştırmacılarına göre, SHC yükleyici Koreli kullanıcılar tarafından Virustotal'a yüklendi ve saldırılar genellikle aynı ülkedeki Linux sistemlerine odaklandı.
Analistler, saldırıların muhtemelen Linux sunucularındaki SSH üzerinden kaba zorlayıcı zayıf yönetici hesap kimlik bilgilerine dayandığını söylüyor.
SHC, BASH kabuk komut dosyalarını Elf (Linux ve UNIX yürütülebilir ürünler) dosyalarına dönüştürebilen Linux için bir "genel kabuk komut dosyası derleyicisi" dir.
Tehdit aktörleri tarafından kullanılan kötü amaçlı bash kabuk komut dosyaları, bir Linux cihazına yüklenen güvenlik yazılımı tarafından tespit edilebilen sistem komutları içerir.
SHC ELF yürütülebilir dosyalardaki komut dosyaları RC4 algoritması kullanılarak kodlandığından, kötü amaçlı komutlar güvenlik yazılımı tarafından kolayca görülmez ve potansiyel olarak kötü amaçlı yazılımın algılamadan kaçmasına izin verir.
SHC kötü amaçlı yazılım indiricisi yürütüldüğünde, diğer birden fazla kötü amaçlı yazılım yükü getirecek ve bunları cihaza yükleyecektir.
Yüklerden biri, uzak bir URL'den katran arşivi olarak indirilen ve "/usr/local/games/" olarak çıkarılan ve yürütülen bir XMRIG madencidir.
Arşiv ayrıca, yapılandırılmış madencilik havuzuna işaret eden "Run" komut dosyasını ve madencinin yapılandırma dosyasını içerir.
XMRIG, yaygın olarak istismar edilen bir açık kaynaklı CPU kripto para birimi madencisidir, genellikle tehlikeye atılan sunucunun mevcut hesaplama kaynaklarını kullanarak Monero'ya Meenero'ya ayarlanmıştır.
Yapılandırmayı madenciyle bir araya getirmek, C2 ile iletişimi en aza indirmeye yardımcı olur ve tehdit oyuncunun sunucusunun çevrimdışı olması durumunda kripto madenciliğinin devam etmesini sağlar.
SHC kötü amaçlı yazılım indiricisi tarafından alınan, düşürülen ve yüklenen ikinci yük, Pearl tabanlı bir DDOS IRC botudur.
Kötü amaçlı yazılım, yapılandırma verilerini kullanarak belirlenen IRC sunucusuna bağlanır ve kullanıcı adı tabanlı bir doğrulama işleminden geçer.
Başarılı olursa, kötü amaçlı yazılım, TCP Sel, UDP sel ve HTTP sel, bağlantı noktası tarama, NMAP taraması, sendmail komutları, süreç öldürme, kütük temizleme ve daha fazlası gibi DDOS ile ilgili eylemler de dahil olmak üzere IRC sunucusundan komutlar bekler.
ASEC, bunun gibi saldırıların genellikle açıkta kalan Linux sunucularında zayıf şifreler kullanmaktan kaynaklandığı konusunda uyarır.
ASEC, "Bu nedenle, yöneticiler hesaplarını tahmin etmek zor olan şifreleri kullanmalı ve Linux sunucusunu kaba kuvvet saldırılarından ve sözlük saldırılarından korumak için periyodik olarak değiştirmeli ve güvenlik açığı saldırılarını önlemek için en son yamayı güncellemelidir."
"Yöneticiler ayrıca saldırganların erişimini kısıtlamak için dışarıdan erişilebilen sunucular için güvenlik duvarları gibi güvenlik programlarını da kullanmalıdır."
Yeni Linux kötü amaçlı yazılım, arka kapı WordPress sitelerine 30 eklenti istismarı kullanıyor
Sahte MSI Afterburner, Windows oyuncularını madencilerle, info-steeters ile hedefliyor
Spynote android kötü amaçlı yazılım enfeksiyonları kaynak kodu sızıntısından sonra artış
Bilgisayar korsanları kötüye kullanma Windows hatası raporlama aracı kötü amaçlı yazılım dağıtmak
Bitrat kötü amaçlı yazılım kampanyası, kimlik avı için çalıntı banka verilerini kullanır
Kaynak: Bleeping Computer