Spesialister på Palo Alto Networks har oppdaget en ny teknikk for skadelig krypto gruve av Rocke-gruppen.
Than malware ikke bare fjerner alle andre konkurrerende gruvearbeidere i systemet, men også bruker GitHub Og Pastebin tjenester som en del av C2 kommandosenter infrastruktur.“Cyberkriminelle skrive skadelige komponenter i Python, mens Pastebin og GitHub brukes som kode repositories”, - Palo Alto Networks forklarer.
Eksperter mener at malware har kinesiske røtter og ble laget av en datakriminalitet gruppe fra Kina, kjent som Rocke. De gruvearbeider angrep sky infrastrukturer, gjennom hvilke det trekker deretter ut digitale valuta. Et selskap som har vært utsatt for et slikt angrep merknader vanligvis at dets strømregninger har vokst betydelig.
“I løpet av sine angrep, kriminelle utnytte sårbarheter oppdaget i 2016 Og 2017. Angripere prøvde å unngå å bli oppdaget, slik at de trengt offerets system, men ikke dypt”, - skrev forskere ved Palo Alto Networks.
Kriminelle får administrativ tilgang til nettbaserte systemer takket være et ondsinnet program som kan skjule sin tilstedeværelse fra tradisjonelle deteksjonsmetoder.
“Ved å analysere NetFlow data fra desember 2018 til juni 16, 2019, vi fant ut at 28.1% av de nettskymiljøer Vi undersøkte hadde minst ett fullt ut etablert nettverksforbindelse med minst en kjent Rocke kommando-og styre (C2) domene. Flere av disse organisasjonene opprettholdes nær daglige forbindelser. i mellomtiden, 20% av organisasjonene opprettholdes time hjerteslag i samsvar med Rocke taktikk, teknikker, og prosedyrer (ttps)”, - Rapporten Palo Alto Networks spesialister.
Kompromitterte systemer er så forbundet med Rocke IP-adresser og domener, som er kodet i den skadelige.
Les også: Den nye versjonen av banktrojaneren TrickBot “kick off” Windows Defender
Den innledende angrep vektor, som i flertallet av slike saker, er fiske. Når denne fasen er vellykket, malware vil bli lastet ned til systemet av angrepet selskapet fra kommandosentre, inkludert GitHub og Pastebin.
