پویش استخراج رمزارز سرورهای لینوکس را با بدافزار Go هدف قرار می‌دهد

طبق گزارش پژوهش‌گران امنیتی F5 Networls، پویش استخراج رمزارزی که به‌تازگی کشف شده است به‌منظور هدف قرار دادن سرورهای مبتنی‌بر لینوکس، یک بدافزار جدید به نام Golang توزیع می‌کند. به نظر می‌رسد این عملیات از تاریخ ۱۰ ژوئن آغاز شده است، اما تاکنون موفق شده که چند هزار دستگاه را آلوده کند. عامل تهدید پشت این پویش درحال سوء‌استفاده از سرویس pastebin.com برای میزبانی از اسکریپت بَش spearhead  است و این بدافزار را در یک وب‌گاه تجارت الکترونیک چینی آسیب‌دیده ذخیره می‌کند.

در این پویش، از آسیب‌پذیری‌هایی که معمولاً مورد هدف قرار می‌گیرند، برای نفوذ به سیستم بهره‌برداری می‌شود که ازجمله‌ی این اشکال‌ها ThinkPHP (CVE-2019-9082)، Atlassian Confluence (CVE-2019-3396) و Drupal (CVE-2018-7600) هستند.

این بدافزار توزیع‌شده در زبان برنامه‌نویسی Go که در گوگل طراحی شده، نوشته شده است. از حدود یک دهه‌ی گذشته، تنها در سال گذشته از زبان Go برای اهداف مخرب سوء‌استفاده شده است و تنها چند خانواده‌ی بدافزاری وجود دارد که در این زبان کامپایل شده‌اند. این پویش جدید از ۷ روش انتشار مختلف سوء‌استفاده می‌کند که ۴ بهره‌برداری برای برنامه‌های وب، SSH credential enumeration، Redis database credential enumeration و کلید SSH است.

هنگامی که این بدافزار Redis database را هدف قرار می‌دهد، ابتدا تلاش می‌کند تا بدون گواهی‌نامه به درگاه پیش‌فرض متصل شود، سپس تلاش می‌کند تا هفت گذوراژه‌ی رایج ازجمله admin، redis، root، ۱۲۳۴۵۶، password، user و test را یک به یک امتحان کند. این بدافزار پس از کشف درگاه‌های SSH تلاش می‌کند تا چهار نام کاربری (root, admins, user, test) را با هفت گذرواژه‌ی مذکور امتحان کند. به‌عنوان گام نهایی، از یک اسکریپت شِل برای یافتن میزبان‌های شناخته‌شده‌ی موجود در مسیر SSH استفاده می‌کند و سپس تلاش می‌کند تا در SSH به آن‌ها متصل شود و بار داده‌ی اولیه را در آن‌ها اجرا کند.

هنگامی‌که یک سیستم در معرض خطر قرار می‌گیرد، یک اسکرپیت بَش که از pastebin.com دانلود می‌شود، چند آرشیو را (که یکی حاوی بدافزار Go است) از یک وب‌گاه تجارت الکترونیک چینی آسیب‌دیده واکشی می‌کند. فایل‌ها دانلود می‌شوند و در یک مسیر مخفی با آدرس /tmp/.mysqli ذخیره می‌شوند تا از حذف و گمراه کردن کاربران جلوگیری کنند.

این تهدید تلاش می‌کند تا کنترل‌های امنیتی را در سیستم‌های آسیب‌دیده ازجمله SELinux غیرفعال کند تا از طریق یک فایل ستاپ جدید مخصوص دانلود اسکریپت بش در هر ۱۵ دقیقه، به پایداری برسد. سپس این اسکریپت بدافزار Go را به‌عنوان یک سرویس تنظیم می‌کند. آرشیوهای دانلودشده از وب‌گاه چینی شامل بدافزار Go اصلی و یک ابزار استخراج مونرو است که از الگوریتم cryptonight استفاده می‌کند و هش‌ها را به چند استخر عمومی ارسال می‌کند. ظاهراً مهاجمان تاکنون کمتر از ۲ هزار دلار درآمد کسب کرده‌اند. همچنین F5 Networls کشف کرد که نویسنده‌ی این بدافزار از نام کاربری Nidaye222 برای ذخیره‌ی اطلاعات استفاده کرده است که منجر به کشف یک پروفایل گیت‌هاب با همان نام کاربری شد.

منبع

پست‌های مشابه

Leave a Comment