Automマルウェア

Automは進行中の暗号マイニングキャンペーンの名前であり、2019年に最初に検出されました。それ以来、研究者のハニーポットサーバーに対する合計84の攻撃が報告されており、そのうち4つは2021年に発生しています。これらの暗号マイニング攻撃は予期されていません。来年は減速する。実際、それはむしろ反対です。専門家は、Automキャンペーンの背後にいる攻撃者が手法を進化させ、マルウェアの脅威が防御メカニズムを回避し、ウイルス対策スキャンツールのレーダーの下を飛ぶことができるようにしていると報告しています。

このキャンペーンの最初の攻撃では、ユーザーが「alpine：latest」という名前のバニラ画像を実行すると、脅迫的なコマンドを実行しました。そのアクションにより、「autom.sh」という名前のシェルスクリプトが作成されました。デバイスにダウンロードされています。ほとんどの組織が公式のバニラ画像を信頼し、それらの使用を許可しているため、この戦術は成功し続けています。ながら破損したバニライメージに追加された脅迫コマンドは、時間の経過とともにほとんど変更されていません。マルウェアの研究者は、シェルスクリプトのダウンロード元のサーバーに違いがあることを確認しました。

報告によると、攻撃シーケンスは依然としてautom.shスクリプトで構成されており、「akay」という名前の新しいユーザーアカウントを作成できます。次に、アカウントの特権がrootユーザーにアップグレードされ、攻撃者が感染したマシンで任意のコマンドを実行し、最終的には利用可能なリソースを悪用して暗号通貨をマイニングできるようになります。

最近追加された新機能は、検出から見えないままにする機能に関するものです。脅迫スクリプトは、難読化されたマイニングシェルスクリプトを取得することでセキュリティメカニズムを無効にできるようになりました。この特定のスクリプトは、Base64で5回エンコードされているため、セキュリティツールを回避します。

サイバー犯罪者が暗号マイニング攻撃を行うために通常悪用する既知の脆弱性に加えて、ここ数週間、Log4jロギングライブラリのセキュリティ上の欠陥が悪用されて、暗号ジャッキングと呼ばれるスキームが実行されています。これには、マイニングを目的としたマシンのハイジャックも含まれます。暗号通貨。さらに、Atlassian Confluence、F5 BIG-IP、Oracle WebLogic Server、およびVMwarevCenterで新たに発見された脆弱性の一部が悪用されています。同時に、ネットワーク接続ストレージ（NAS）アプライアンスメーカーのQNAPも発表しました最近、総CPU使用率の約50％を占める可能性のある暗号通貨マイニングマルウェアが発見されました。