Согласно данным исследований, неавторизованные подключения к известным майнинг-пулам часто свидетельствуют о скрытой активности вредоносного программного обеспечения. Майнинг-пул, представляющий собой объединение вычислительных ресурсов участников для совместного добывания криптовалюты, превратился в важный элемент мониторинга сетевой активности. Злоумышленники все чаще используют чужие вычислительные мощности для незаконного майнинга, что создает серьезные операционные риски для организаций.
Описание
С технической точки зрения, майнинг-пулы функционируют как координационные центры, распределяющие вычислительные задачи между участниками и пропорционально разделяющие вознаграждение за найденные блоки. Именно эта легитимная функция делает их привлекательными для киберпреступников, которые маскируют свою деятельность под обычные операции добычи криптовалюты.
Современные системы обнаружения угроз начали активно интегрировать мониторинг соединений с майнинг-пулами в свои процедуры анализа безопасности. Специалисты по кибербезопасности разработали специальные правила корреляции, позволяющие идентифицировать подозрительную активность, связанную с криптомайнингом.
Эксперты выделяют несколько ключевых признаков компрометации через майнинг-пулы. Во-первых, это неожиданное увеличение потребления вычислительных ресурсов, особенно процессорного времени. Во-вторых, подозрительные сетевые подключения к известным майнинг-серверам, часто осуществляемые через нестандартные порты или с использованием шифрования.
Особую озабоченность вызывает тенденция использования легитимных майнинг-пулов продвинутыми группами вредоносных программ. Современные образцы вредоносного ПО часто содержат встроенные адреса популярных пулов, что позволяет им быстро начать неавторизованный майнинг после проникновения в систему.
Специалисты по безопасности подчеркивают, что мониторинг подключений к майнинг-пулам должен быть неотъемлемой частью стратегии защиты организации. Современные решения класса IDS (системы обнаружения вторжений) и IPS (системы предотвращения вторжений) способны детектировать такую активность в режиме реального времени.
Практические рекомендации включают регулярный аудит сетевых соединений, анализ потребления ресурсов и внедрение специализированных правил в системах мониторинга. Важным аспектом является также обучение персонала основам кибергигиены, поскольку многие инциденты начинаются с фишинговых атак.
Перспективы развития этой угрозы связаны с постоянной эволюцией методов маскировки. Злоумышленники начинают использовать менее известные пулы, распределяют нагрузку между несколькими серверами и применяют сложные техники обфускации трафика.
В заключение стоит отметить, что мониторинг подключений к майнинг-пулам перестал быть узкоспециализированной задачей и превратился в важный компонент комплексной безопасности. Организации, игнорирующие этот вектор атак, рискуют столкнуться с существенными финансовыми и операционными потерями из-за несанкционированного использования их вычислительных ресурсов.
Индикаторы компрометации
Domains
- alimabi.cn
- ap.luckpool.net
- bcn.pool.minergate.com
- bcn.vip.pool.minergate.com
- bohemianpool.com
- ca.minexmr.com
- ca.monero.herominers.com
- ca-aipg.miningocean.org
- ca-dynex.miningocean.org
- ca-neurai.miningocean.org
- ca-qrl.miningocean.org
- ca-upx.miningocean.org
- ca-zephyr.miningocean.org
- cbd.monerpool.org
- cbdv2.monerpool.org
- cryptmonero.com
- cryptonight-hub.miningpoolhub.com
- crypto-pool.fr
- crypto-pool.info
- d1pool.ddns.net
- d5pool.us
- daili01.monerpool.org
- de.minexmr.com
- de-aipg.miningocean.org
- de-dynex.miningocean.org
- de-zephyr.miningocean.org
- dl.nbminer.com
- donate.graef.in
- donate.ssl.xmrig.com
- donate.v2.xmrig.com
- donate.xmrig.com
- donate2.graef.in
- drill.moneroworld.com
- dwarfpool.com
- emercoin.com
- emercoin.net
- emergate.net
- ethereumpool.co
- eu.luckpool.net
- eu.minerpool.pw
- fcn-xmr.pool.minergate.com
- fee.xmrig.com
- fr.minexmr.com
- fr-aipg.miningocean.org
- fr-dynex.miningocean.org
- fr-neurai.miningocean.org
- fr-qrl.miningocean.org
- fr-upx.miningocean.org
- fr-zephyr.miningocean.org
- hellominer.com
- herominers.com
- hk-aipg.miningocean.org
- hk-dynex.miningocean.org
- hk-neurai.miningocean.org
- hk-qrl.miningocean.org
- hk-upx.miningocean.org
- hk-zephyr.miningocean.org
- huadong1-aeon.ppxxmr.com
- iwanttoearn.money
- jw-js1.ppxxmr.com
- koto-pool.work
- lhr.nbminer.com
- lhr3.nbminer.com
- linux.monerpool.org
- lokiturtle.herominers.com
- luckpool.net
- masari.miner.rocks
- mine.c3pool.com
- mine.moneropool.com
- mine.ppxxmr.com
- mine.zpool.ca
- mine1.ppxxmr.com
- minemonero.gq
- miner.ppxxmr.com
- miner.rocks
- minercircle.com
- minergate.com
- minerpool.pw
- minerrocks.com
- miners.pro
- minerxmr.ru
- minexmr.cn
- minexmr.com
- mining-help.ru
- miningpoolhub.com
- mixpools.org
- moner.monerpool.org
- moner1min.monerpool.org
- monero.crypto-pool.fr
- monero.hashvault.pro
- monero.herominers.com
- monero.lindon-pool.win
- monero.miners.pro
- monero.riefly.id
- monero.us.to
- monerocean.stream
- monerogb.com
- monerohash.com
- monero-master.crypto-pool.fr
- moneroocean.stream
- moneropool.com
- moneropool.nl
- monerorx.com
- monerpool.org
- moriaxmr.com
- mro.pool.minergate.com
- multipool.us
- myxmr.pw
- na.luckpool.net
- nanopool.org
- nbminer.com
- node3.luckpool.net
- noobxmr.com
- pangolinminer.comgandalph3000.com
- pool.4i7i.com
- pool.armornetwork.org
- pool.cortins.tk
- pool.gntl.co.uk
- pool.hashvault.pro
- pool.minergate.com
- pool.minexmr.com
- pool.monero.hashvault.pro
- pool.ppxxmr.com
- pool.somec.cc
- pool.support
- pool.supportxmr.com
- pool.t00ls.ru
- pool.usa-138.com
- pool.xmr.pt
- pool.xmrfast.com
- pool2.armornetwork.org
- poolchange.ppxxmr.com
- pooldd.com
- poolmining.org
- poolto.be
- ppxvip1.ppxxmr.com
- ppxxmr.com
- prohash.net
- r.twotouchauthentication.online
- randomx.xmrig.com
- ratchetmining.com
- seed.emercoin.com
- seed.emercoin.net
- seed.emergate.net
- seed1.joulecoin.org
- seed2.joulecoin.org
- seed3.joulecoin.org
- seed4.joulecoin.org
- seed5.joulecoin.org
- seed6.joulecoin.org
- seed7.joulecoin.org
- seed8.joulecoin.org
- sg.minexmr.com
- sg-aipg.miningocean.org
- sg-dynex.miningocean.org
- sg-neurai.miningocean.org
- sg-qrl.miningocean.org
- sg-upx.miningocean.org
- sg-zephyr.miningocean.org
- sheepman.mine.bz
- siamining.com
- sumokoin.minerrocks.com
- supportxmr.com
- suprnova.cc
- teracycle.net
- trtl.cnpool.cc
- trtl.pool.mine2gether.com
- turtle.miner.rocks
- us-aipg.miningocean.org
- us-dynex.miningocean.org
- us-neurai.miningocean.org
- us-west.minexmr.com
- usxmrpool.com
- us-zephyr.miningocean.org
- viaxmr.com
- webservicepag.webhop.net
- wither-xmr.duckdns.org
- xiazai.monerpool.org
- xiazai1.monerpool.org
- xmc.pool.minergate.com
- xmo.pool.minergate.com
- xmr.2miners.com
- xmr.5b6b7b.ru
- xmr.alimabi.cn
- xmr.bohemianpool.com
- xmr.crypto-pool.fr
- xmr.crypto-pool.info
- xmr.f2pool.com
- xmr.hashcity.org
- xmr.hex7e4.ru
- xmr.ip28.net
- xmr.monerpool.org
- xmr.mypool.online
- xmr.nanopool.org
- xmr.pool.gntl.co.uk
- xmr.pool.minergate.com
- xmr.poolto.be
- xmr.ppxxmr.com
- xmr.prohash.net
- xmr.simka.pw
- xmr.somec.cc
- xmr.suprnova.cc
- xmr.usa-138.com
- xmr.vip.pool.minergate.com
- xmr1min.monerpool.org
- xmr-asia1.nanopool.org
- xmr-au1.nanopool.org
- xmr-eu1.nanopool.org
- xmr-eu2.nanopool.org
- xmrf.520fjh.org
- xmrf.fjhan.club
- xmrfast.com
- xmrigcc.graef.in
- xmr-jp1.nanopool.org
- xmrminer.cc
- xmrpool.de
- xmrpool.eu
- xmrpool.me
- xmrpool.net
- xmrpool.xyz
- xmr-us.suprnova.cc
- xmr-usa.dwarfpool.com
- xmr-us-east1.nanopool.org
- xmr-us-west1.nanopool.org
- xx11m.monerpool.org
- xx11mv2.monerpool.org
- xxx.hex7e4.ru
- zarabotaibitok.ru
- zer0day.ru
Domain Port Combinations
- pool.hashvault.pro:443
- pool.supportxmr.com:3333
- stratum.f2pool.com:8888
- xmr.crypto-pool.fr:3333
- xmr.crypto-pool.fr:443
- xmr.crypto-pool.fr:6666
- xmr.crypto-pool.fr:7777
- xmr.crypto-pool.fr:8080
