Ngày 12 tháng 12 năm 2022Ravie LakshmananBảo mật máy chủ / Linux
Một cuộc tấn công khai thác tiền điện tử nhắm vào hệ điều hành Linux cũng liên quan đến việc sử dụng trojan truy cập từ xa mã nguồn mở (RAT) có tên là CHAOS.
Mối đe dọa được Trend Micro phát hiện vào tháng 11 năm 2022, hầu như không thay đổi ở tất cả các khía cạnh khác, bao gồm cả việc chấm dứt phần mềm độc hại cạnh tranh, phần mềm bảo mật và triển khai công cụ khai thác tiền điện tử Monero (XMR).
“Phần mềm độc hại đạt được sự bền bỉ của nó bằng cách thay đổi tệp /etc/crontab, một bộ lập lịch tác vụ UNIX, trong trường hợp này, tự tải xuống cứ sau 10 phút từ Pastebin,” các nhà nghiên cứu David Fiser và Alfredo Oliveira cho biết.
Bước này thành công bằng cách tải xuống các tải trọng giai đoạn tiếp theo bao gồm công cụ khai thác XMRig và CHAOS RAT dựa trên Go.
Công ty an ninh mạng cho biết tập lệnh tải xuống chính và các tải trọng khác được lưu trữ ở nhiều vị trí để đảm bảo rằng chiến dịch vẫn hoạt động và các trường hợp lây nhiễm mới tiếp tục xảy ra.
CHAOS RAT, sau khi được tải xuống và khởi chạy, sẽ truyền siêu dữ liệu hệ thống chi tiết đến một máy chủ từ xa, đồng thời có khả năng thực hiện các thao tác với tệp, chụp ảnh màn hình, tắt và khởi động lại máy tính cũng như mở các URL tùy ý.
Các nhà nghiên cứu cho biết: “Nhìn bề ngoài, việc kết hợp RAT vào quy trình lây nhiễm của phần mềm độc hại khai thác tiền điện tử có vẻ tương đối nhỏ”.
“Tuy nhiên, với hàng loạt chức năng của công cụ và thực tế là quá trình phát triển này cho thấy các tác nhân đe dọa dựa trên đám mây vẫn đang phát triển các chiến dịch của chúng, điều quan trọng là cả tổ chức và cá nhân phải hết sức thận trọng khi nói đến vấn đề bảo mật.”
