A Microsoft informou que dispositivos Linux expostos à internet e dispositivos de Internet das Coisas (IoT) estão sendo sequestrados em ataques brutais como parte de uma campanha recente de criptojacking.
Após obter acesso a um sistema, os invasores implantam um pacote OpenSSH trojanizado que os ajuda a backdoor os dispositivos comprometidos e roubar credenciais SSH para manterem a persistência.
"Os patches instalam ganchos que interceptam as senhas e chaves das conexões SSH do dispositivo, seja como cliente ou servidor", disse a Microsoft.
"Além disso, os patches permitem login root por SSH e ocultam a presença do invasor suprimindo o registro das sessões SSH dos atores de ameaças, que são distinguidos por uma senha especial".
O script de backdoor implantado ao mesmo tempo que o binário OpenSSH trojanizado adicionará duas chaves públicas ao arquivo authorized_keys para acesso SSH persistente.
Ele também permite que os atores de ameaças coletam informações do sistema e instalem os rootkits LKM de código aberto Reptile e Diamorphine para ocultar atividades maliciosas nos sistemas invadidos.
Os atores de ameaças também usam a backdoor para eliminar outros mineradores, adicionando novas regras iptables e entradas em /etc/hosts para interromper o tráfego para hosts e IPs usados pelos concorrentes do criptojacking da operação.
"Ele também identifica processos e arquivos de mineradores por seus nomes e os termina ou bloqueia o acesso a eles, e remove o acesso SSH configurado em authorized_keys por outros adversários", disse a Microsoft.
Uma versão do bot IRC de código aberto ZiggyStarTux também implantada no ataque vem com capacidades de negação de serviço distribuído (DDoS) e permite que os operadores executem comandos bash.
O malware de backdoor utiliza várias técnicas para garantir sua persistência em sistemas comprometidos, duplicando o binário em vários locais de disco e criando trabalhos cron para executá-lo periodicamente.
Além disso, ele registra ZiggyStarTux como um serviço systemd, configurando o arquivo de serviço em /etc/systemd/system/network-check.service.
O tráfego de comunicação C2 entre os bots ZiggyStarTux e os servidores IRC é camuflado usando um subdomínio pertencente a uma instituição financeira do sudeste asiático legítima hospedada na infraestrutura do invasor.
Ao investigar a campanha, a Microsoft viu que os bots foram instruídos a baixar e executar scripts shell adicionais para forçar a entrada em cada host vivo na sub-rede do dispositivo invadido e backdoor quaisquer sistemas vulneráveis usando o pacote OpenSSH trojanizado.
Depois de se mover lateralmente dentro da rede da vítima, o objetivo final dos invasores parece ser a instalação de malware de mineração visando sistemas Hiveon OS baseados em Linux projetados para mineração de criptos.
"A versão modificada do OpenSSH imita a aparência e o comportamento de um servidor OpenSSH legítimo e pode, portanto, representar um desafio maior para a detecção do que outros arquivos maliciosos", disse a Microsoft.
"O OpenSSH patcheado também pode permitir que os atores de ameaças acessem e comprometam dispositivos adicionais.
Esse tipo de ataque demonstra as técnicas e a persistência dos adversários que buscam infiltrar e controlar dispositivos expostos".
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...