Группа анализа угроз Antiy CERT выявила новую модификацию вредоносного ПО для скрытого майнинга, известного как yayaya Miner. По сравнению с ранее документированной версией, описанной в мае 2023 года, обновленный вариант демонстрирует значительные изменения в тактике сокрытия и расширенный функционал, включая внедрение IRC-бота для удаленного управления.
Описание
Новый вариант, как и его предшественник, нацелен на системы под управлением Linux и распространяется через подбор слабых паролей SSH. Однако теперь злоумышленники изменили способ маскировки: вместо каталога yayaya используется директория с именем hhide. Также произошла замена имени загружаемого модуля ядра с nonono на iptable_reject, а используемый сигнал изменен с 63 на 53.
Одним из наиболее значимых нововведений стало включение в нагрузку IRC-бота, написанного на Perl. Этот компонент позволяет злоумышленнику выполнять на зараженной машине широкий спектр команд: сканирование портов, очистку системных журналов, рассылку почты, организацию DDoS-атак и выполнение произвольных shell-команд. Для маскировки процесс бота присваивает себе имя httpd, имитируя работу веб-сервера Apache.
Основной скрипт инициализации, отвечающий за развертывание майнера, по-прежнему зашифрован с помощью утилиты shc, но с измененными параметрами. После запуска скрипт выполняет ряд действий по подготовке системы: удаляет следы предыдущих вредоносных кампаний (конкурирующие майнеры), очищает логи, настраивает системные лимиты для повышения производительности майнинга и блокирует IP-адреса пулов конкурентов.
Затем скрипт компилирует и загружает модуль ядра iptable_reject, который функционирует как руткит, скрывая процессы, файлы и собственные модули злоумышленника. После загрузки модуля временные файлы удаляются, а сам модуль копируется в скрытую директорию в /etc/ для обеспечения устойчивости.
Финальным этапом является загрузка и запуск исполняемого файла майнера, предназначенного для добычи криптовалюты Monero (XMR). Для скачивания используются различные утилиты (wget, curl, fetch), что повышает шансы на успешное развертывание даже в ограниченных окружениях.
Эксперты Antiy относят данный троянец к категории Trojan/Shell.yayaya, а компонент бота - к Trojan/Perl.IRCBot. Анализ поведения образца позволяет сопоставить его с тактиками и техниками, описанными в матрице MITRE ATT&CK, включая сканирование, использование удаленных сервисов, выполнение скриптов, повышение привилегий, сокрытие активности, обнаружение и сбор данных, а также оказание воздействия через DoS и захват ресурсов.
Индикаторы компрометации
URLs
- http://172.104.170.240/pn.zip
- http://example.established.site/pn.zip
- http://w.amax.fun/pn.zip
MD5
- 775087dae7f08f651ee4170a9ef726b6
- cff7c7d9fbf93555f09d80e4de72668c
