Новое вредоносное ПО крадет учетные данные Amazon и добывает Monero

Новости мировые

Команда Cado Security опубликовала отчет о новом вредоносном ПО, которое не только заражает систему и начинает добывать криптовалюту Monero (XMR), но и крадет учетные данные AWS (Amazon Web Service).

В последние годы компании постепенно переходят от внутренних систем управления IT-ресурсами к внешним системам, что позволяет снизить затраты как на закупку материалов, так и на обслуживание.

Это привело к сильному росту индустрии облачных вычислений – компании заимствуют вычислительные ресурсы и строят на них собственную платформу.
К сожалению, опасным аспектом такого подхода является то, что после взлома облачной системы все, что находится внутри облака взламывается уже без каких-либо проблем.

Так, исследовательская группа обнаружила, что авторами новой вредоносной программы является преступная группировка TeamTNT, которая стоит за взломами систем контейнеризации Docker и Kubernetes.

После атаки на устройство вредоносный код ищет папки «.aws / credentials» и «.aws / config» и отправляет файлы на сервер злоумышленников sayhi.bplace.net. Когда это происходит, сервер отправляет сообщение THX, т.е. спасибо на английском языке.
Исходя из того что удалось проанализировать было обнаружено, что соответствующие учетные данные впоследствии вводятся преступниками вручную, что является в определенном смысле преимуществом, поскольку, если удается вовремя обнаружить функционирование вредоносного ПО, жертва хакерской атаки может успеть изменить свои учетные данные.

Кроме того, команда Cado Security обнаружила, что вредоносное ПО также содержит код известного майнера Kinsing, который скрыто добывает криптовалюту Monero (XMR), и сильно загружает работу процессора.

Исследования показали, что как минимум 119 облачных систем уже были скомпрометированы и обнаружено 2 адреса Monero, связанные с преступниками.

Они приносят около 4 евро или 0,054 XMR в день, и преступники обналичили уже почти 2 XMR.

Отчет завершается советами о том, что было бы разумно удалить папки с учетными данными, использовать брандмауэр, ограничивающий доступ к Docker API, проверять трафик, отправляемый в любые пулы майнинга, и проверять, есть ли подключения к страницам HTTP.

Добавить комментарий