В ноябре 2022 года TrendMicro перехватили угрозу, которая имела несколько иной порядок действий и включала продвинутый троян удаленного доступа (RAT) под названием CHAOS Remote Administrative Tool (Trojan.Linux.CHAOSRAT), основанный на проекте с открытым исходным кодом.
CHAOS RAT
Первоначальный поток, включающий уничтожение конкурирующих вредоносных программ, таких как Kinsing, и уничтожение ресурсов, влияющих на производительность майнинга криптовалюты, остался неизменным.
Вредоносная программа достигает своей живучести путем изменения файла /etc/crontab, планировщика задач UNIX, который в данном случае загружает себя каждые 10 минут с Pastebin.
После этого загружаются дополнительные полезные нагрузки: майнер XMRig, его конфигурационный файл, shell-сценарий, зацикливающий "убийцу конкурентов", и, самое главное, сам RAT.
Основной скрипт-загрузчик и последующие полезные нагрузки размещаются в разных местах, чтобы кампания оставалась активной и постоянно распространялась. Скрипты показывают, что главный сервер, который также используется для загрузки полезной нагрузки, расположен в России, а исторические данные whois показывают, что он также используется для облачного хостинга (способ действий, который ранее применялся хакерскими командами - с использованием инструментов с открытым исходным кодом - которые фокусировали свои атаки на облачной инфраструктуре, контейнерах и средах Linux).
Этот командно-контрольный (C&C) сервер используется только для предоставления полезной нагрузки - Chaos RAT подключается к другому C&C серверу, вероятно, расположенному в Гонконге (что мы определили с помощью IP-геолокации). При запуске клиент RAT подключается к C&C-серверу через его адрес и порт по умолчанию, используя для авторизации JSON Web Token (JTW).
После подключения и успешной авторизации клиент отправляет подробную информацию о зараженной машине.
На первый взгляд, включение RAT в процедуру заражения вредоносной программы для майнинга криптовалюты может показаться относительно незначительным. Однако, учитывая набор функций этого инструмента и тот факт, что эта эволюция показывает, что субъекты "облачных" угроз продолжают совершенствовать свои кампании, важно, чтобы как организации, так и частные лица сохраняли повышенную бдительность в вопросах безопасности. В нашем исследовании, посвященном группам облачного майнинга криптовалют, мы привели несколько конкретных мер и лучших практик, которые предприятия могут применять для укрепления своей оборонительной позиции.
Indicators of Compromise
SHA256
- 051351f4257d7f87bede9b72455aae5a5b9a8269bfb4bcbecb1501f7a3409957
- 3928c5874249cc71b2d88e5c0c00989ac394238747bb7638897fc210531b4aab
- 52ab96b1d99964502a7946eef39a5f636d8a240c747d43f8568d62cf0e960ae9
- 759c496b114f9212c610892c5236935cced564a78b3b410bd2d27c9ee6257f42
- 7a96d9f7a25a67ec2873bb814cb0ba104d3b7c1651f65ff09d8e1f76cba6fb79
- fd452da0d978514adaeee1dd5227212aad00bf07f2481d335eed77a4ee08a5e8