Xanthe Malware

Das Wachstum von Cloud-Umgebungen und -Diensten hat die Technologielandschaft auf vielfältige Weise enorm verändert. Einer der Aspekte, die nicht übersehen werden sollten, ist die Sicherheit. Während Windows-Desktopsysteme für einen beträchtlichen Zeitraum die Hauptziele für Cyberkriminelle waren und dies immer noch sind, hat auch eine bedeutende Verschiebung stattgefunden. Tatsächlich laufen immer mehr im Internet eingerichtete Hosts unter Linux und sind aufgrund der zusätzlichen Anstrengungen, die sie beim Aufbau ihrer Sicherheitsmaßnahmen im Vergleich zu internen Windows-Systemen erfordern, eine weitaus einfachere Beute. Bislang haben Infosec-Forscher im Jahr 2020 mehrere Kampagnen beobachtet, die genau auf solche Systeme abzielen. Eine der neuesten ist die Xanthe-Malware.

Die Xanthe-Malware ist ein multimodulares Botnetz und eine Malware-Bedrohung, die falsch konfigurierte Docker-API-Installationen ausnutzt, um Linux-Systeme zu infizieren. Einmal drinnen, stellt Xanthe eine Variante der beliebten XMRig Monero-Kryptomining-Malware bereit und sammelt clientseitige Anmeldeinformationen und Zertifikate, mit denen es sich selbst verbreitet.

Die erste Datei, die auf dem Zielsystem abgelegt wird, ist ein Downloader-Skript namens pop.sh, das die Aufgabe hat, das ausführende Hauptmodul des Botnetzes - xanthe.sh - herunterzuladen. Nach der Bereitstellung stellt Xanthe vier zusätzliche Malware-Module bereit, die jeweils für eine andere schädliche Funktionalität verantwortlich sind:

• libprocesshider.so - ein Modul zum Ausblenden von Prozessen
• xesa.txt - ein Shell-Skript, das andere Bedrohungen durch Cryptomining-Malware sowie Sicherheitssoftware deaktiviert
• fczyo - ein Shell-Skript, das die Aufgabe hat, konkurrierende Docker-Targeting-Kryptominer zu entfernen
• config.json - die Binärdatei der Crypto-Miner-Variante XMRig Monero

Das Hauptmodul versucht, sich auf andere Systeme auszudehnen, die sowohl mit lokalen als auch mit externen Netzwerken verbunden sind. Zu diesem Zweck erhält Xanthe die IP-Adresse des gefährdeten Hosts, indem er eine Verbindung zu icanhazip.com herstellt. Anschließend werden durch die Malware-Bedrohung clientseitige Zertifikate mithilfe des Dienstprogramms "find" erfasst. Wenn alle Schlüssel erhalten wurden, sucht Xanthe nach bekannten TCP-Ports, Hosts und den Kennwörtern für diese Hosts. Ein Schleifenprozess, der alle möglichen Kombinationen der erhaltenen Informationen durchläuft, wird verwendet, um eine Verbindung zu Remote-Hosts herzustellen. Bei Erfolg lädt Xanthe sein Hauptmodul über Befehlszeilen herunter und führt es auf dem Remote-System aus.