Autom-Malware

Autom ist der Name einer laufenden Krypto-Mining-Kampagne, die erstmals 2019 entdeckt wurde. Seitdem wurden insgesamt 84 Angriffe auf Honeypot-Server von Forschern gemeldet, vier davon im Jahr 2021. Diese Krypto-Mining-Angriffe sind nicht zu erwarten im kommenden Jahr zu verlangsamen. Tatsächlich ist es eher das Gegenteil. Experten berichten, dass die Angreifer hinter der Autom-Kampagne ihre Methoden weiterentwickeln, wodurch Malware-Bedrohungen besser in der Lage sind, Abwehrmechanismen zu umgehen und unter dem Radar von Antiviren-Scan-Tools zu landen.

Bei den ersten Angriffen dieser Kampagne wurde ein bedrohlicher Befehl ausgeführt, sobald ein Benutzer ein Vanilla-Image mit dem Namen "alpine:latest" ausführte. Diese Aktion führte zu einem Shell-Skript namens "autom.sh". auf das Gerät heruntergeladen werden. Diese Taktik ist weiterhin erfolgreich, da die meisten Unternehmen offiziellen Vanilla-Images vertrauen und deren Verwendung zulassen. WährendBedrohungsbefehl, der dem beschädigten Vanilla-Image hinzugefügt wurde, im Laufe der Zeit kaum geändert wurde, haben Malware-Forscher einen Unterschied in dem Server festgestellt, von dem das Shell-Skript heruntergeladen wird.

Berichten zufolge besteht die Angriffssequenz noch aus dem Skript autom.sh, das die Erstellung eines neuen Benutzerkontos namens „akay“ ermöglicht. Dann werden die Berechtigungen des Kontos zu einem Root-Benutzer hochgestuft, sodass die Angreifer beliebige Befehle auf dem infizierten Computer ausführen und schließlich die verfügbaren Ressourcen ausnutzen können, um Kryptowährungen abzubauen.

Eine neue Funktion, die kürzlich hinzugefügt wurde, betrifft die Fähigkeit, für die Erkennung unsichtbar zu bleiben – dieBedrohungsskripte können jetzt Sicherheitsmechanismen deaktivieren, indem sie ein verschleiertes Mining-Shell-Skript abrufen. Dieses spezielle Skript vermeidet Sicherheitstools, da es fünfmal Base64-codiert ist.

Neben den bereits bekannten Schwachstellen, die Cyberkriminelle normalerweise für Krypto-Mining-Angriffe ausnutzen, wurden in den letzten Wochen auch Sicherheitslücken in der Log4j-Logging-Bibliothek missbraucht, um ein Schema namens Crypto-Jacking auszuführen, bei dem auch Maschinen zum Zwecke des Minings entführt werden Kryptowährungen. Darüber hinaus wurden einige neu entdeckte Schwachstellen in Atlassian Confluence, F5 BIG-IP, Oracle WebLogic Servern und VMware vCenter missbraucht. Gleichzeitig hat auch der Hersteller von Network Attached Storage (NAS)-Appliances QNAP angekündigtkürzlich die Entdeckung einer Kryptowährungs-Mining-Malware, die etwa 50% der gesamten CPU-Auslastung einnehmen könnte.