Hacking
Συντονισμένες επιθέσεις κακόβουλου λογισμικού Soco404 και Koske
Η Soco404 και η Koske στοχεύουν υπηρεσίες cloud με επιθέσεις εξόρυξης κρυπτονομισμάτων, εκμεταλλευόμενες ευπάθειες σε Linux και Windows.
Κακόβουλες εκστρατείες στοχεύουν τις υπηρεσίες cloud
Οι ερευνητές κυβερνοασφάλειας αποκάλυψαν δύο διαφορετικές εκστρατείες κακόβουλου λογισμικού που εκμεταλλεύονται ευπάθειες και λανθασμένες ρυθμίσεις στις υπηρεσίες cloud για την εξόρυξη κρυπτονομισμάτων. Αυτές οι εκστρατείες, που έχουν κωδικοποιηθεί ως Soco404 και Koske από τις εταιρείες ασφάλειας Wiz και Aqua αντίστοιχα, στοχεύουν σε συστήματα τόσο Linux όσο και Windows, αναπτύσσοντας εξειδικευμένο κακόβουλο λογισμικό για κάθε πλατφόρμα.
Η στρατηγική των επιτιθέμενων
Η εκστρατεία Soco404 χρησιμοποιεί τεχνικές παραλλαγής διεργασιών για να καμουφλάρει τις κακόβουλες δραστηριότητες ως νόμιμες διεργασίες συστήματος. Οι κακόβουλοι κώδικες ενσωματώνονται σε ψεύτικες σελίδες 404 HTML που φιλοξενούνται σε ιστότοπους κατασκευασμένους μέσω του Google Sites. Παρόλο που οι ψεύτικοι αυτοί ιστότοποι έχουν πλέον απενεργοποιηθεί από την Google, η εκστρατεία είχε ήδη στοχεύσει υπηρεσίες Apache Tomcat με αδύναμα διαπιστευτήρια και ευπαθείς διακομιστές Apache Struts και Atlassian Confluence μέσω του botnet Sysrv.
Εκμετάλλευση PostgreSQL και Apache Tomcat
Η τελευταία εκστρατεία έχει επίσης στοχεύσει δημόσια προσβάσιμες περιπτώσεις PostgreSQL, χρησιμοποιώντας την εντολή COPY … FROM PROGRAM SQL για την εκτέλεση αυθαίρετων εντολών κελύφους στον κεντρικό υπολογιστή και την επίτευξη απομακρυσμένης εκτέλεσης κώδικα. Επιπλέον, οι επιτιθέμενοι εκμεταλλεύονται παραβιασμένους διακομιστές Apache Tomcat για τη φιλοξενία κακόβουλων φορτίων που είναι προσαρμοσμένα για περιβάλλοντα Linux και Windows.
Αυτοματοποιημένες επιθέσεις και εργαλεία
Οι επιτιθέμενοι πίσω από το Soco404 φαίνεται να διεξάγουν αυτοματοποιημένες σάρωσεις για εκτεθειμένες υπηρεσίες, με στόχο την εκμετάλλευση οποιουδήποτε προσβάσιμου σημείου εισόδου. Χρησιμοποιούν ένα ευρύ φάσμα εργαλείων εισόδου, όπως τα wget και curl για Linux, καθώς και τα certutil και PowerShell για Windows, υποδεικνύοντας μια ευκαιριακή στρατηγική.
Πολυεπίπεδη επίθεση σε Linux και Windows
Στα συστήματα Linux, ένα dropper shell script εκτελείται απευθείας στη μνήμη για να κατεβάσει και να εκκινήσει το επόμενο στάδιο του φορτίου, ενώ ταυτόχρονα λαμβάνονται μέτρα για την τερματισμό ανταγωνιστικών miners. Στα Windows, η αρχική μετα-εκμετάλλευση χρησιμοποιείται για τη λήψη και εκτέλεση ενός Windows binary, το οποίο ενσωματώνει τόσο το miner όσο και τον οδηγό WinRing0.sys για την απόκτηση προνομίων NTSYSTEM.
Η εμφάνιση του Koske και οι τεχνικές του
Το Koske, μια νέα απειλή για το Linux, φαίνεται να έχει αναπτυχθεί με τη βοήθεια ενός μεγάλου γλωσσικού μοντέλου (LLM) και χρησιμοποιεί φαινομενικά αθώες εικόνες pandas για τη διάδοση του κακόβουλου λογισμικού. Η επίθεση ξεκινά με την εκμετάλλευση ενός κακώς ρυθμισμένου διακομιστή, όπως το JupyterLab, για την εγκατάσταση διαφόρων scripts από δύο εικόνες JPEG, συμπεριλαμβανομένου ενός rootkit βασισμένου σε C.
Εξόρυξη κρυπτονομισμάτων και πολυγλωσσικά αρχεία
Ο τελικός στόχος του Koske είναι η ανάπτυξη miners βελτιστοποιημένων για CPU και GPU, που εκμεταλλεύονται τους υπολογιστικούς πόρους του κεντρικού υπολογιστή για την εξόρυξη 18 διαφορετικών νομισμάτων, όπως Monero, Ravencoin, Zano, Nexa και Tari. Τα αρχεία εικόνας που χρησιμοποιούνται είναι πολυγλωσσικά αρχεία, με κακόβουλα φορτία προσαρτημένα στο τέλος. Μόλις κατέβουν, το κακόβουλο λογισμικό εξάγει και εκτελεί τα κακόβουλα τμήματα στη μνήμη, παρακάμπτοντας τα εργαλεία antivirus.
