CoinStomp Malware
CoinStomp ist eine neue Malware-Familie, die anscheinend entwickelt wurde, um Cloud-Dienste zu infizieren und dann ihre Ressourcen zum Schürfen von Kryptowährung zu verwenden. Diese Angriffe sind als Kryptojacking bekannt geworden. Details zu dieser speziellen Malware-Bedrohung wurden der Öffentlichkeit in einem Bericht von Cado Security bekannt gegeben.
Ihren Erkenntnissen zufolge besteht CoinStomp aus Shell-Skripten, die versuchen, Cloud-Computerinstanzen verschiedener Cloud-Dienstleister weitgehend auszunutzen. Bisher waren die meisten CoinStomp-Ziele Cloud-Anbieter mit Sitz in Asien. Die Forscher fanden einen Verweis auf den Cryptojacking-Bedrohungsakteur, der als Xanthe in einer nicht mehr existierenden Payload-URL verfolgt wird. Diese Tatsache allein reicht jedoch nicht aus, um die Bedrohung mit hoher Zuversicht der cyberkriminellen Gruppe zuzuschreiben. Darüber hinaus wurde es möglicherweise von den wahren Schuldigen als Versuch hinterlassen, Sicherheitsforscher durchzubringen.
Bedrohliche Fähigkeiten
CoinStomp ist mit mehreren Anti-Erkennungstechniken ausgestattet. Der prominenteste dreht sich um „Time-Stomping“, eine Methode zur Manipulation von Zeitstempeln über den Linux-Touch-Befehl. Dadurch können die Angreifer Fälle verbergen, in denen die Dienstprogramme chmod und chattr verwendet wurden.
Darüber hinaus wird die Bedrohung auch versuchen, den Ziel-Linux-Server zu schwächen, indem sie seine kryptografischen Richtlinien stoppt. Der Zweck dieser Richtlinien besteht darin, das System vor Malware-Bedrohungen zu schützen, die darauf abgelegt und ausgeführt werden. Um die aufdringlichen Aktionen der CoinStomp-Malware zu erleichtern, haben ihre Ersteller eine Routine hinzugefügt, die einen Kill-Befehl verwendet, um die systemweiten kryptografischen Richtlinien zu deaktivieren.
CoinStomp öffnet eine Reverse-Shell, um die Kommunikation mit seinem Command-and-Control (C2, C&C)-Server herzustellen. Bei Erfolg können die Angreifer die Bedrohung dann nutzen, um zusätzliche bedrohliche Payloads zu liefern, darunter Binärdateien für leistungsfähigere Backdoors und eine angepasste Version von XMRig, einer Krypto-Mining-Software für Monero. Die Payloads der nächsten Stufe werden als systemweite systemd- Dienste ausgeführt und erhalten Root-Privilegien.
