CoinStomp Malware

CoinStompは、クラウドサービスに感染し、そのリソースを使用して暗号通貨をマイニングするように設計されているように見える新しいマルウェアファミリーです。これらの攻撃は、クリプトジャッキングとして知られるようになりました。この特定のマルウェアの脅威に関する詳細は、CadoSecurityのレポートで公開されました。

彼らの調査結果によると、CoinStompは、さまざまなクラウドサービスプロバイダーに属するクラウドコンピューターインスタンスを悪用しようとするシェルスクリプトで構成されています。主に。これまでのところ、ほとんどのCoinStompターゲットは、アジアにあるクラウドプロバイダーです。研究者は、無効なペイロードURLでXantheとして追跡された暗号ジャックの脅威アクターへの参照を見つけました。ただし、この事実だけでは、サイバー犯罪者グループに高い信頼を置いて脅威を特定することをサポートするには不十分です。さらに、それはセキュリティ研究者を追い払う試みとして本当の犯人によって残されたかもしれません。

脅迫能力

CoinStompには、いくつかの検出防止技術が装備されています。最も顕著なものは、Linuxのtouchコマンドを介してタイムスタンプを操作する方法である「タイムスタンプ」を中心に展開しています。そうすることで、攻撃者はchmodおよびchattrユーティリティが使用されたインスタンスを隠すことができます。

さらに、この脅威は、暗号化ポリシーを停止することにより、対象のLinuxサーバーを弱体化させようとします。これらのポリシーの目的は、マルウェアの脅威がドロップされて実行されることからシステムを保護することです。 CoinStompマルウェアの侵入行為を容易にするために、その作成者は、killコマンドを使用してシステム全体の暗号化ポリシーを無効にするルーチンを追加しました。

CoinStompは、リバースシェルを開いて、コマンドアンドコントロール（C2、C＆C）サーバーとの通信を確立します。成功した場合、攻撃者は脅威を使用して、より強力なバックドア用のバイナリや、Monero暗号化マイニングソフトウェアであるXMRigのカスタマイズバージョンなど、追加の脅威となるペイロードを配信できます。次のステージのペイロードは、システム全体のsystemdサービスとして実行され、root権限が付与されます。