Elastic Security Labs обнаружили сложную вредоносную кампанию REF6138, направленную на уязвимые серверы Linux
01/10/24
Хакеры начали свою зловредную активность в марте 2024 года, используя уязвимость на веб-сервере Apache2. После получения доступа злоумышленники развернули целый набор инструментов и вредоносного ПО для закрепления присутствия на скомпрометированном хосте и дальнейшего расширения контроля. Об этом пишет Securitylab.
Атакующие использовали различные вредоносные программы, включая KAIJI, известный своими DDoS-способностями, и RUDEDEVIL, представляющий собой криптомайнер, который эксплуатирует ресурсы системы для своих целей.
В ходе расследования специалисты обнаружили возможную схему майнинга Bitcoin и XMR, основанную на использовании API азартных игр. Это предполагает, что злоумышленники могли использовать скомпрометированные хосты для отмывания денег. Кроме того, исследователи получили доступ к файловому серверу, который ежедневно обновлялся свежими образцами KAIJI, свидетельствуя об активной разработке и модификации вредоносного ПО.
Для скрытой коммуникации злоумышленники использовали Telegram-ботов, поддельные процессы ядра и инструмент планирования задач cron. Атака началась с получения удалённого доступа к Apache2 и загрузки скрипта под названием «00.sh». Этот скрипт удалял системные логи, убирал конкурирующие майнинговые процессы и устанавливал дополнительные вредоносные файлы. Для дальнейшего управления скомпрометированным сервером злоумышленники использовали сервер с файловым хранилищем, содержащий различные образцы вредоносного ПО для разных архитектур.
Одним из основных компонентов кампании стал RUDEDEVIL, который отличался специфическим сообщением от автора внутри своего кода, а также выполнял ряд задач, таких как установка в систему, использование сокетов для связи и контроль сетевой активности. Кроме того, анализ этого вредоносного ПО выявил использование XOR-шифрования для маскировки данных.
Касательно специфического сообщения, в коде RUDEDEVIL специалисты выявили следующие строки, адресованные экспертам по безопасности: «Привет, дружище. Я видел, что уже несколько организаций за последнее время сообщили о моём трояне. Пожалуйста, не мешайте мне. Я просто хочу купить машину. Я не хочу никому вредить или делать что-то незаконное. Если несложно, закиньте мне немного крипты следующий XMR-кошелёк...».
Это сообщение может быть попыткой вызвать сочувствие или отвлечь внимание исследователей, однако, в любом случае, оно является уникальной фишкой RUDEDEVIL и подогревает определённый интерес к его автору.
Возвращаясь к разбору вредоносной кампании, злоумышленники также использовали инструменты для мониторинга процессов и сетевой активности. Они могли контролировать нагрузку процессора и отправлять информацию о системе на управляющие серверы через защищённые каналы.
Другим инструментом злоумышленников стал GSOCKET — утилита для зашифрованной связи между системами, скрывающая свою активность за системными процессами ядра. В ходе атаки также использовалась уязвимость CVE-2021-4034 (pwnkit) для получения привилегий root.