Вредоносное ПО для Linux использует инструмент с открытым исходным кодом, чтобы избежать обнаружения

Исследователи безопасности ATT Alien Labs обнаружили, что киберпреступная группа TeamTNT модернизировала свой крипто-майнинг Linux с помощью возможностей обхода обнаружения с открытым исходным кодом..

TeamTNT в основном известна тем, что нацеливает и взламывает открытые в Интернете экземпляры Docker для несанкционированного майнинга Monero (XMR)..

Однако группа также изменила тактику, обновив свое вредоносное ПО для криптоджекинга Linux под названием Black-T, чтобы также собирать учетные данные пользователей с зараженных серверов..

TeamTNT теперь дополнительно обновили свое вредоносное ПО, чтобы избежать обнаружения после заражения и развертывания вредоносных полезных данных для майнинга на устройствах Linux..

Скрываясь на виду

«Группа использует новый инструмент уклонения от обнаружения, скопированный из репозиториев с открытым исходным кодом», — говорит исследователь безопасности ATT Alien Labs Офер Каспи в опубликованном сегодня отчете..

Этот инструмент известен как libprocesshider и представляет собой инструмент с открытым исходным кодом, доступный на Github, который можно использовать для скрытия любого процесса Linux с помощью предзагрузчика ld..

«Цель нового инструмента — скрыть вредоносный процесс от программ обработки информации, таких как` ps` и `lsof`, эффективно действуя как техника обхода защиты, — добавил Каспи..

READ  Google готовится разрешить вам использовать - Live Captions - во время телефонных звонков

Средство уклонения от обнаружения развертывается в зараженных системах в виде bash-скрипта в кодировке base64, встроенного в бинарный файл TeamTNT ircbot или cryptominer..

После запуска скрипта на скомпрометированной машине он выполнит ряд задач, которые позволят ему:

  • Измените конфигурацию сетевого DNS.
  • Установить постоянство через systemd.
  • Отбросьте и активируйте новый инструмент как услугу.
  • Загрузите последнюю конфигурацию бота IRC.
  • Явные свидетельства действий, усложняющих действия потенциальных защитников.

После выполнения всех шагов вредоносная программа Black-T также автоматически удалит все следы вредоносной активности, удалив историю bash системы..

«Благодаря использованию libprocesshider, TeamTNT снова расширяет свои возможности на основе доступных инструментов с открытым исходным кодом», — заключил Каспи..

«Хотя новая функциональность libprocesshider заключается в том, чтобы избежать обнаружения и других основных функций, она действует как индикатор, который следует учитывать при поиске вредоносной активности на уровне хоста».

Обновления ботнета

Ботнет крипто-майнинга был впервые обнаружен в мае 2020 года командой MalwareHunterTeam, а затем проанализирован компанией Trend Micro, которая обнаружила его сходство с таргетингом на Docker..

READ  Google выпустит новую линейку Nest Cams в 2021 году

После того, как вредоносная программа заразит неправильно настроенный сервер, она развернется в новых контейнерах и сбросит вредоносный двоичный файл полезной нагрузки, который начнет майнинг криптовалюты Monero (XMR)..

В августе Cado Security обнаружила новую функцию сбора учетных данных AWS червя TeamTNT, сделав его первым ботнетом для криптоджекинга с такой возможностью..

Через месяц Intezer обнаружил вредоносное ПО при развертывании законного инструмента с открытым исходным кодом Weave Scope, чтобы взять под контроль Docker, Kubernetes, распределенную облачную операционную систему (DC / OS) или облачную инфраструктуру AWS Elastic Compute Cloud (ECS) жертв..

Ранее в этом месяце TeamTNT начала использовать шифровальщик Ezuri с открытым исходным кодом и загрузчик памяти, чтобы сделать их вредоносное ПО практически не обнаруживаемым антивирусными продуктами..

Источник

NET.Гаджет 2021