Specialister på Palo Alto Networks har opdaget en ny teknik til ondsindet krypto minedrift af Rocke gruppe.
Than malware ikke kun fjerner alle andre konkurrerende minearbejdere i systemet, men også anvender GitHub og Pastebin tjenester som en del af C2 kommandocentral infrastruktur.”Cyberkriminelle skrive ondsindede komponenter i Python, mens Pastebin og GitHub bruges som kode repositories”, - Palo Alto Networks forklarer.
Eksperter mener, at malwaren har kinesiske rødder og blev skabt af en cyberkriminalitet gruppe fra Kina, kendt som Rocke. Minearbejder angreb cloud infrastruktur, hvorigennem derefter udtrækker det digitale valuta. En virksomhed, der har været offer for et sådant angreb normalt bemærker, at dets elregning er vokset betydeligt.
”I løbet af deres angreb, cyberkriminelle udnytte sårbarheder opdaget i 2016 og 2017. Angribere forsøgte at undgå at blive opdaget, så de trængte ofrets systemet, men ikke dybt”, - skrev forskere på Palo Alto Networks.
Kriminelle får administrativ adgang til cloud-systemer takket være et ondsindet program, der kan skjule sin tilstedeværelse fra de traditionelle metoder til påvisning.
”Ved at analysere NetFlow data fra December 2018 til juni 16, 2019, Vi fandt, at 28.1% af cloud-miljøer vi undersøgte havde mindst én fuldt etableret netværksforbindelse med mindst et kendt Rocke kommando-og-kontrol (C2) domæne. Flere af de organisationer vedligeholdes nær daglige forbindelser. Imens, 20% af de organisationer vedligeholdes timeløn hjerteslag i overensstemmelse med Rocke taktik, teknikker, og procedurer (ttps)”, - rapport Palo Alto Networks specialister.
Kompromitterede systemer er derefter forbundet med Rocke IP-adresser og domæner, som er kodet i malware.
Læs også: Den nye version af bank trojanske TrickBot ”skydes i gang” Windows Defender
Det første angreb vektor, som i hovedparten af disse tilfælde, er fiskeri. Når denne fase er en succes, malware vil blive downloadet til ordningen for angrebet selskab fra kommandocentraler, herunder GitHub og Pastebin.
