Недавно было обнаружено новое уклоняющееся вредоносное ПО, способное получить доступ к корпоративным системам для майнинга криптовалюты, используя ключевой интернет-протокол.
Исследователи обнаружили, что вредоносное ПО способно запускать DDoS-атаки, закрепляться в корпоративных сетях и запускать атаки.
Для обеспечения долгосрочной безопасности и стабильности Akamai Группа реагирования на угрозы безопасности (SIRT) отслеживает, обнаруживает, документирует и публикует новые разработки.
Технический анализ
Redress — это бесплатная программа с открытым исходным кодом, которая позволяет пользователям перестраивать структуры в двоичных файлах Go, чтобы облегчить обратное проектирование на языке программирования Go.
Тот факт, что Golang считается критически важным инструментом, неоспорим, поскольку мы наблюдаем растущее число злоумышленников, использующих его в своих злонамеренных целях.
Согласно отчету Akamai , это может быть связано с тем, что из-за того, как он реализован, реконструировать этот язык стало практически невозможно.
Атака на игровую компанию
В результате обнаружения исследователями была обнаружена приманка, которую KmsdBot необычно открыто подвешивал в попытке заманить злоумышленников.
Эта новая вредоносная программа заражает компьютеры, на которых размещены пользовательские частные серверы для популярных игр, таких как Grand Theft Auto Online. В то время как это было обнаружено FiveM, на котором размещены пользовательские частные серверы для Grand Theft Auto Online.
Во время атаки злоумышленники открыли сокет UDP, используя токен сеанса FiveM, и создали пакет с использованием протокола дейтаграмм (UDP).
В дополнение к этим атакам исследователи также заметили, что бот также участвовал в ряде других атак, которые были менее целенаправленными.
Недавнее исследование ученых пришло к выводу, что вредоносное ПО KmsdBot быстро распространяется, потому что оно поддерживается множеством архитектур, в том числе:
- Winx86
- Arm64
- mips64
- x86_64
При этом командно-административная инфраструктура программы взаимодействует с системой по протоколу TCP.
Криптомайнинг
Чтобы внести свой вклад в различные пулы майнинга, эти люди могут быть выбраны случайным образом из пула, состоящего из тысяч человек.
Активность криптомайнинга экспертами не наблюдалась в течение периода времени, в течение которого они наблюдали за ботнетом. На момент исследования экспертам стало известно, что ботнет совершает только DDoS-атаки.
Активность криптомайнинга может быть запущена ботом, поскольку он на это способен. Несмотря на это, было обнаружено, что существует команда ./ksmdr -o pool.hashvault.pro, в которой ksmdr на самом деле является переименованной версией бинарника xmrig.
Смягчения
Ботнет, подобный этому, представляет собой отличный пример того, насколько сложной стала угроза безопасности и насколько она изменилась за эти годы.
Бот, созданный как часть приложения для игрового приложения, похоже, превратился во вредоносную программу, атакующую крупные бренды предметов роскоши.
Одной из наиболее примечательных особенностей этой угрозы является то, как она распространяется, и не только то, что даже она использует слабое SSH-соединение для получения доступа к системе.
В свете этих проблем эксперты разработали некоторые меры по смягчению последствий, чтобы сохранить безопасность системы и сети организации. И здесь мы упомянули их ниже:
- Всякий раз, когда вы развертываете приложение или сервер, убедитесь, что ваши учетные данные надежны, и не используйте учетные данные по умолчанию.
- Обязательно обновляйте развернутые приложения с помощью последних исправлений безопасности и периодически проверяйте их, чтобы убедиться, что они по-прежнему работают должным образом.
- Убедитесь, что вы используете аутентификацию с открытым ключом при подключении к SSH , так как нет лучшего способа предотвратить этот тип компрометации системы, чем сделать это.
