Huis » Nieuws » nieuwe cyberminer Rocke's verwijdert concurrenten en maakt gebruik van GitHub om te communiceren met C2

nieuwe cyberminer Rocke's verwijdert concurrenten en maakt gebruik van GitHub om te communiceren met C2

Specialisten in Palo Alto Networks hebben een nieuwe techniek voor kwaadaardige crypto mijnbouw door Rocke groep ontdekt.

Thij malware verwijdert niet alleen alle andere concurrerende mijnwerkers in het systeem, maar maakt ook gebruik van de GitHub en Pastebin diensten als onderdeel van de C2-commandocentrum infrastructuur.

“Cybercriminelen schrijven kwaadaardige componenten in Python, terwijl Pastebin en GitHub worden gebruikt als code repositories”, - Palo Alto Networks legt uit.

Experts geloven dat de malware heeft Chinese wortels en is opgericht door een cybercriminaliteit groep uit China, bekend als Rocke. De mijnwerker aanvallen cloud-infrastructuren, waardoor het dan haalt digitale valuta. Een bedrijf dat het slachtoffer van een dergelijke aanval is meestal merkt dat zijn elektriciteitsrekening aanzienlijk gegroeid.

“Tijdens hun aanvallen, cybercriminelen kwetsbaarheden in ontdekt 2016 en 2017. Aanvallers geprobeerd om detectie te vermijden, zodat ze doorgedrongen tot het systeem van het slachtoffer, maar niet diep”, - schreef de onderzoekers van Palo Alto Networks.

Criminelen krijgen beheerdersrechten toegang tot cloud-systemen dankzij een kwaadaardig programma dat de aanwezigheid van de traditionele detectiemethoden kan verbergen.

“Door het analyseren van NetFlow data vanaf december 2018 tot en met juni 16, 2019, we hebben gevonden dat 28.1% van de cloud-omgevingen ondervraagde we ten minste één volledig vastgesteld netwerkverbinding met ten minste één bekende Rocke command-and-control hadden (C2) domein. Een aantal van die organisaties onderhouden in de buurt van dagelijkse verbindingen. Ondertussen, 20% van de organisaties onderhouden per uur hartslagen in overeenstemming met Rocke tactiek, technieken, en procedures (TTP's)”, - verslag van Palo Alto Networks specialisten.

Gecompromitteerde systemen worden vervolgens gekoppeld aan Rocke IP-adressen en domeinen, die zijn gecodeerd in de malware.

LEZEN  Malware Echobot aanvallen ivd-apparaten, Oracle toepassingen, VMware en exploiteert oude kwetsbaarheden

Lees ook: De nieuwe versie van de banking Trojan TrickBot “start” Windows Defender

De eerste aanval vector, zoals bij meeste dergelijke gevallen, is de visserij. Zodra deze fase is succesvol, de malware wordt gedownload naar het systeem van de aangevallen bedrijf uit de commandocentra, waaronder GitHub en Pastebin.

[Totaal: 0    Gemiddelde: 0/5]

Over Trojan Killer

Carry Trojan Killer Portable op je memory stick. Zorg ervoor dat u in staat om uw pc te weerstaan ​​elke cyberdreigingen overal mee naar toe bent.

Controleer ook

Cudac.exe – Virus Bestanden verwijderen

Een gloednieuw, really harmful cryptocurrency miner virus has been discovered by safety and security researchers. …

Trojan Casbaneiro gebruikt YouTube

Casbaneiro banking Trojan gebruikt YouTube om cryptogeld stelen

Eset bestudeerde de nieuwe Casbaneiro familie van banking Trojans. Een kwaadaardig programma gejaagd voor cryptogeld …

Laat een antwoord achter