Attaques de minage de crypto-monnaie Linux améliorées par CHAOS RAT
Nuage
Nous avons bloqué une attaque d’extraction de crypto-monnaie qui comprenait un cheval de Troie d’accès à distance avancé (RAT) nommé CHAOS Remote Administrative Tool.
Temps de lecture: ( mot)
Nous avons déjà écrit sur des scénarios de cryptojacking impliquant des machines Linux et des instances de cloud computing spécifiques ciblées par des menaces actives dans cet espace telles que TeamTNT. Nous avons constaté que les routines et la séquence des événements étaient assez similaires, même si elles impliquaient différents acteurs de la menace : la première phase a vu les attaquants essayer de tuer les logiciels malveillants concurrents, les produits de sécurité et d’autres middleware cloud. Viennent ensuite des tâches de persistance et d’exécution de la charge utile, qui dans la plupart des cas est un mineur de crypto-monnaie Monero (XMR). Pour les menaces plus sophistiquées, nous avons également observé des fonctionnalités qui leur permettaient de se propager à davantage d’appareils.
En novembre 2022, nous avons intercepté une menace avec une routine légèrement différente et avons inclus un cheval de Troie d’accès à distance (RAT) avancé nommé CHAOS Remote Administrative Tool (Trojan.Linux.CHAOSRAT), qui était basé sur un projet open source.
Notez que le flux d’origine impliquant la suppression de logiciels malveillants concurrents tels que Kinsing et la destruction de ressources influençant les performances de minage de crypto-monnaie est resté inchangé.
Les logiciels malveillants obtiennent leur persistance en mutant /etc/crontab file, un planificateur de tâches UNIX qui, dans ce cas, se télécharge toutes les 10 minutes depuis Pastebin.
Ceci est suivi par le téléchargement de charges utiles supplémentaires : un mineur XMRig, son fichier de configuration, un script shell qui boucle le “tueur de compétition” et, plus important encore, le RAT lui-même.
Le script de téléchargement principal et les charges utiles supplémentaires sont hébergés à différents endroits pour garantir que la campagne reste active et continue de se propager. Les scripts montrent que le serveur principal, qui est également utilisé pour le téléchargement des charges utiles, semble être situé en Russie, qui a un historique qui des données montrant qu’il était également utilisé pour l’hébergement cloud pare-balles (un mode opératoire précédemment utilisé par les équipes de piratage – utilisant des outils open source – concentrant leurs attaques sur l’infrastructure cloud, les conteneurs et les environnements Linux).
Ce serveur de commande et de contrôle (C&C) n’est utilisé que pour fournir des charges utiles – Chaos RAT se connecte à un autre serveur C&C, probablement situé à Hong Kong (que nous avons identifié via la géolocalisation IP). Lors de l’exécution, le client RAT se connecte au serveur C&C via son adresse et son port par défaut, en utilisant un jeton Web JSON (JTW) pour l’autorisation.
Une fois la connexion et l’autorisation réussies, le client envoie des informations détaillées sur la machine infectée au serveur C&C à l’aide de la commande /dispositif.
RAT est un binaire compilé en Go avec les fonctions suivantes :
- Effectuer une coque inversée
- Telecharger des fichiers
- Télécharger des fichiers
- Supprimer les fichiers
- Prendre des captures d’écran
- Accéder à l’explorateur de fichiers
- Recueillir des informations sur le système d’exploitation
- Redémarrez le PC
- Arrêtez le PC
- Ouvrir une URL
Une caractéristique intéressante de la famille de logiciels malveillants que nous avons interceptée est que l’adresse et le jeton d’accès sont transmis en tant qu’indicateurs de compilation et codés en dur dans le client RAT, remplaçant toutes les données dans les variables du code principal.
À première vue, l’inclusion d’un RAT dans la routine d’infection d’un malware d’extraction de crypto-monnaie peut sembler un peu triviale. Cependant, étant donné la gamme de fonctions de l’outil et le fait que cette évolution montre que les acteurs de la menace basés sur le cloud font encore évoluer leurs campagnes, il est important que les organisations et les individus restent plus vigilants en matière de sécurité. Dans notre recherche sur les groupes de minage de crypto-monnaie basés sur le cloud, nous avons fourni quelques étapes concrètes et les meilleures pratiques que les entreprises peuvent mettre en œuvre pour aider à renforcer leur posture défensive.
Les entreprises peuvent également envisager de puissantes technologies de sécurité cloud telles que Trend Micro Cloud One™ – Workload Security, qui aident à protéger les systèmes contre les exploits de vulnérabilité, les logiciels malveillants et les modifications non autorisées. À l’aide de techniques telles que l’apprentissage automatique (ML) et les correctifs virtuels, il peut automatiquement sécuriser les charges de travail nouvelles et existantes contre les menaces connues et inconnues.
Indicateurs de compromis
Les indicateurs de compromis pour cette entrée peuvent être trouvés ici.
Mots clés
sXpIBdPeKzI9PC2p0SWMpUSM2NSxWzPyXTMLlbXmYa0R20xk
