استخراج ارز رمز بر روی Linux و Windows، توسط بدافزاری چندبستری

محققان شرکت Intezer از شناسایی بدافزاری جدید با عملکرد “کرم” (Worm) خبر داده‌اند که از اوایل دسامبر ۲۰۲۰ اقدام به نصب ابزار XMRig و استخراج ارز رمز مونرو بر روی دستگاه‌های با سیستم عامل Windows و Linux می‌کرده است. 
به گزارش معاونت بررسی مرکز افتا به نقل از سایت bleepingcomputer ،این بدافزار که به زبان Golang برنامه‌نویسی شده از طریق حملات موسوم به “سعی و خطا” (Brute-force) به سرورهایی همچون MySQL، Tomcat، Jenkins و WebLogic که بر روی اینترنت در دسترس قرار دارند نفوذ می‌کند.
مهاجمان پشت‌پرده کارزار از بدو پیدایش این بدافزار به‌طور فعال قابلیت‌های خودانتشاری آن را از طریق سرور فرماندهی (C۲) تکامل داده‌اند.
وظیفه سرور فرماندهی، میزبانی فایل Bash – به‌عنوان Dropper دستگاه‌های با سیستم عامل Linux –، اسکریپت PowerShell – به‌عنوان Dropper دستگاه‌های با سیستم عامل Windows –، فایل دودویی مبتنی بر Golang (بدافزار با عملکرد کرم) و ابزار XMRig (برای استخراج مونرو) است.
در زمان انتشار گزارش از سوی Intezer، نسخه تحت Linux کرم که فایلی از نوع ELF است توسط هیچ کدام از ضدویروس‌های سامانه VirusTotal قابل شناسایی نبوده است.
این کرم با پویش اینترنت سرویس‌های MySQL، Tomcat، Jenkins و WebLogic را شناسایی کرده و در ادامه تلاش می‌کند تا با امتحان کردن فهرستی از اطلاعات اصالت‌سنجی (Credential) به آنها رخنه کرده و کنترل آنها را در اختیار بگیرد.
در مواردی در نسخه های  قدیمی کرم نیز از آسیب‌پذیری CVE-۲۰۲۰-۱۴۸۸۲ در Oracle WebLogic بهره‌جویی (Exploit) می‌شده است. بهره‌جویی از آسیب‌پذیری مذکور مهاجم را قادر به اجرای کد به‌صورت از راه دور بر روی دستگاه قربانی می‌کند.
به‌محض آلوده شدن سرور، یک اسکریپت با عملکرد Loader (فایل ld.sh برای Linux و اسکریپت ld.ps۱ برای Windows) اجرا می‌شود. وظیفه فایل‌های مذکور کپی ابزار XMRig و کرم مبتنی بر Golang بر روی سرور است.
در صورتی که بدافزار تشخیص دهد که درگاه ۵۲۰۱۳ بر روی دستگاه آلوده در حال شنود است به‌صورت خودکار اجرای خود را متوقف می‌کند. در غیر این‌صورت سوکت شبکه‌ای خود را باز می‌کند.
عدم شناسایی نسخه تحت Linux کرم، علیرغم شباهت بسیار نزدیک کد با نسخه تحت Windows آن، از ناکارآمدی سازوکارهای امنیتی در مقابله با تهدیدات مبتنی بر Linux حکایت دارد.
محدودسازی تعداد ثبت ورود (Login) و استفاده از رمزهای عبور پیچیده به ویژه برای تمامی سرویس‌های قابل دسترس بر روی اینترنت و در صورت امکان بکارگیری احراز هویت دوعاملی (Two-factor Authentication) از جمله راهکارهای کلیدی در ایمن ماندن از گزند این کرم چندبستری است.
ضمن آن‌که به‌روز نگاه داشتن نرم‌افزار و در دسترس قرار ندادن سرویس‌ها بر روی اینترنت، مگر در مواقع ضروری باید همواره مدنظر قرار داشته باشد.
مشروح گزارش Intezer در لینک زیر قابل دریافت و مطالعه است:

https://www.intezer.com/blog/research/new-golang-worm-drops-xmrig-miner-on-servers


نشانه‌های آلودگی

منبع:

https://www.bleepingcomputer.com/news/security/new-worm-turns-windows-linux-servers-into-monero-miners

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.