Обновлённый криптомайнер атакует Huawei Cloud и других облачных провайдеров

Обновлённый криптомайнер атакует Huawei Cloud и других облачных провайдеров

Обновлённый криптомайнер атакует Huawei Cloud и других облачных провайдеров

Версия вредоносного криптомайнера, которая в 2020 году атаковала контейнеры Docker, теперь переключилась на облачные сервисы вроде Huawei Cloud. О новых кампаниях операторов майнера рассказали специалисты Trend Micro.

Обнаруженные недавно образцы вредоносной программы заточены под атаки исключительно на облачные среды. Более того, майнер теперь избавляется от других скриптов для криптоджекинга, если таковые присутствуют в заражённой системе.

Попав в систему Linux, новые семплы вредоносного криптовалютного майнера начинают свою работу с проверки и удаления пользователей, которых создали аналогичные кампании конкурентов.

 

После этого, само собой, вредонос добавляет собственных пользователей, что является практически неотъемлемой частью любой операции криптоджекинга. Эти юзеры могут использовать sudo и получают root-доступ к устройству.

Для закрепления в системе злоумышленники используют собственный ключ ssh-RSA, что позволяет им менять файл конфигурации, отвечающий за права пользователей. Это значит, что конкуренты не смогут получить полный контроль над уже скомпрометированным девайсом.

Далее атакующие устанавливают прокси-сервис Tor, чтобы спрятать обмен информацией от различных сканеров. Как отметили специалисты Trend Micro, используемые злоумышленниками бинарники обфусцируются и упаковываются UPX.

Как правило, этот вредоносный майнер проникает в систему благодаря одному из следующих условий:

  • Слабые пароли SSH.
  • Уязвимость в  Oracle WebLogic Server (CVE-2020-14882).
  • Несанкционированный доступ или слабые пароли Redis.
  • Несанкционированный доступ или слабые пароли PostgreSQL.
  • Слабые пароли SQLServer.
  • Несанкционированный доступ или слабые пароли MongoDB.
  • Слабый пароль FTP.
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Сообщество разработчиков Linux хочет снять с поддержки CPU i486 и i586

Разработчик ядра Linux Инго Молнар (Ingo Molnar) вновь поднял в сообществе вопрос о снятии с поддержки устаревших процессоров Intel 486 и ранних моделей Intel 586 — антиквариата, которым, по его словам, почти никто уже не пользуется.

Предложенный Молнаром набор патчей позволит существенно сэкономить время на обеспечении совместимости, оставив в силе поддержку лишь 32-битных Pentium со счетчиком меток времени (TSC), умеющих работать с инструкцией CMPXCHG8B.

Срок поддержки x86-32 во многих дистрибутивах заканчивается, а Linux упорно продолжает тащить наследие 90-х, тогда как отказ от него снизил бы сложность кода и трудоемкость техобслуживания.

«В x86-32 предусмотрено множество аппаратных средств эмуляции для поддержки древних 32-битных CPU, которые сейчас используют единицы, — подчеркивает Молнар, озвучивая свое предложение. — Необходимость обеспечения совместимости иногда даже вызывает проблемы, на решение которых приходится тратить драгоценное время».

В 2012 году по той же причине сообщество Linux сняло с поддержки Intel 386, а в 2019-м Линус Торвальдс предложил также распрощаться с дискетами. Вопрос о депрекации Intel 486 создатель ядра Linux поднял в 2022 году, но тогда обсуждение в сообществе не дало искомого результата; возможно, на этот раз консенсус будет достигнут.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru