Specialisten in Palo Alto Networks hebben een nieuwe techniek voor kwaadaardige crypto mijnbouw door Rocke groep ontdekt.
Thij malware verwijdert niet alleen alle andere concurrerende mijnwerkers in het systeem, maar maakt ook gebruik van de GitHub En Pastebin diensten als onderdeel van de C2-commandocentrum infrastructuur.“Cybercriminelen schrijven kwaadaardige componenten in Python, terwijl Pastebin en GitHub worden gebruikt als code repositories”, - Palo Alto Networks legt uit.
Experts geloven dat de malware heeft Chinese wortels en is opgericht door een cybercriminaliteit groep uit China, bekend als Rocke. De mijnwerker aanvallen cloud-infrastructuren, waardoor het dan haalt digitale valuta. Een bedrijf dat het slachtoffer van een dergelijke aanval is meestal merkt dat zijn elektriciteitsrekening aanzienlijk gegroeid.
“Tijdens hun aanvallen, cybercriminelen kwetsbaarheden in ontdekt 2016 En 2017. Aanvallers geprobeerd om detectie te vermijden, zodat ze doorgedrongen tot het systeem van het slachtoffer, maar niet diep”, - schreef de onderzoekers van Palo Alto Networks.
Criminelen krijgen beheerdersrechten toegang tot cloud-systemen dankzij een kwaadaardig programma dat de aanwezigheid van de traditionele detectiemethoden kan verbergen.
“Door het analyseren van NetFlow data vanaf december 2018 tot en met juni 16, 2019, we hebben gevonden dat 28.1% van de cloud-omgevingen ondervraagde we ten minste één volledig vastgesteld netwerkverbinding met ten minste één bekende Rocke command-and-control hadden (C2) domein. Een aantal van die organisaties onderhouden in de buurt van dagelijkse verbindingen. Ondertussen, 20% van de organisaties onderhouden per uur hartslagen in overeenstemming met Rocke tactiek, technieken, en procedures (TTP's)”, - verslag van Palo Alto Networks specialisten.
Gecompromitteerde systemen worden vervolgens gekoppeld aan Rocke IP-adressen en domeinen, die zijn gecodeerd in de malware.
Lees ook: De nieuwe versie van de banking Trojan TrickBot “start” Windows Defender
De eerste aanval vector, zoals bij meeste dergelijke gevallen, is de visserij. Zodra deze fase is succesvol, de malware wordt gedownload naar het systeem van de aangevallen bedrijf uit de commandocentra, waaronder GitHub en Pastebin.
