Escrevemos anteriormente sobre cenários de cryptojacking envolvendo máquinas Linux e instâncias específicas de computação em nuvem sendo alvo de agentes de ameaças ativos neste espaço, como TeamTNT . Descobrimos que as rotinas e a cadeia de eventos eram bastante semelhantes, mesmo que envolvessem diferentes agentes de ameaças: a fase inicial viu os invasores tentando eliminar malware, produtos de segurança e outros middlewares de nuvem concorrentes. Isso foi seguido por rotinas de persistência e execução de carga útil, que na maioria dos casos é um minerador de criptomoeda Monero (XMR). Para ameaças mais sofisticadas, também observamos recursos que permitiram que ela se espalhasse para mais dispositivos.

Em novembro de 2022, interceptamos uma ameaça que tinha uma rotina um pouco diferente e incorporamos um trojan avançado de acesso remoto (RAT) chamado CHAOS Remote Administrative Tool (Trojan.Linux.CHAOSRAT), baseado em um projeto de código aberto.

Observe que o fluxo original envolvendo o encerramento de malware concorrente, como Kinsing , e a eliminação de recursos que influenciam o desempenho da mineração de criptomoedas permaneceu inalterado.

Figura 1. O fluxo de trabalho original do cryptojacking

O malware consegue sua persistência alterando o arquivo /etc/crontab , um agendador de tarefas do UNIX que, nesse caso, baixa a si mesmo a cada 10 minutos do Pastebin .

Figura 2. Obtendo persistência usando cron e scripts de shell baixados do Pastebin

Isso é seguido pelo download de cargas úteis adicionais: um minerador XMRig, seu arquivo de configuração, um script de shell em loop “assassino de competição” e, o mais importante, o próprio RAT.

Figura 3. Download de carga útil adicional

Figura 4. Loop infinito de eliminação de processos concorrentes

O script principal do downloader e outros payloads são hospedados em locais diferentes para garantir que a campanha permaneça ativa e em constante propagação. Os scripts mostram que o servidor principal, que também é usado para baixar payloads, parece estar localizado na Rússia, com dados históricos do whois mostrando que ele também é usado para hospedagem à prova de balas na nuvem (um modus operandi que era empregado anteriormente por equipes de hackers – usando open ferramentas de origem — que concentraram seus ataques em infraestrutura de nuvem, contêineres e ambientes Linux).

Este servidor de comando e controle (C&C) é usado apenas para fornecer cargas úteis – o Chaos RAT se conecta a outro servidor C&C, provavelmente localizado em Hong Kong (que determinamos por meio de geolocalização de IP). Durante a execução, o cliente RAT se conecta ao servidor C&C por meio de seu endereço e porta padrão, usando um JSON Web Token (JTW) para autorização.

Após a conexão e autorização bem-sucedida, o cliente envia informações detalhadas sobre a máquina infectada para o servidor C&C usando o comando /device .

O RAT é um binário compilado pelo Go com as seguintes funções:

Execute shell reverso
Download de arquivos
Fazer upload de arquivos
Deletar arquivos
Tirar screenshots
Acesse o explorador de arquivos
Reunir informações do sistema operacional
Reinicie o PC
Desligue o PC
Abra um URL

Figura 5. Algumas funções implementadas que podem ser enviadas para a máquina comunicada via servidor C&C

Figura 6. Strings ligando o binário ao CHAOS RAT

Figura 7. Página do GitHub para CHAOS RAT mostrando algumas de suas funções

Uma característica interessante da família de malware que interceptamos é que o endereço e o token de acesso são passados como sinalizadores de compilação e codificados dentro do cliente RAT, substituindo quaisquer dados dentro das variáveis do código principal.

Figura 8. O endereço e o token de acesso sendo passados como sinalizadores de compilação e codificados dentro do cliente RAT

Conclusão

Superficialmente, a incorporação de um RAT na rotina de infecção de um malware de mineração de criptomoeda pode parecer relativamente menor. No entanto, dada a variedade de funções da ferramenta e o fato de que essa evolução mostra que os agentes de ameaças baseados em nuvem ainda estão desenvolvendo suas campanhas, é importante que tanto as organizações quanto os indivíduos permaneçam vigilantes quando se trata de segurança. Em nossa pesquisa sobre grupos de mineração de criptomoeda baseados em nuvem , fornecemos várias medidas concretas e práticas recomendadas que as empresas podem implementar para ajudar a fortalecer sua postura defensiva.

Indicadores de compromisso

MITRE ATT&CK

Acesso inicial	Descoberta	Execução	Persistência	Coleção	Comando e controle	Exfiltração	Impacto
Serviços Remotos Externos	Escaneamento de serviço de rede	Interpretador de Comandos e Scripts	Tarefa/trabalho agendado	Captura de tela	Software de acesso remoto	Exfi ltração sob re o Canal C2	Sequestro de recursos
Explorar aplicativo voltado para o público	Descoberta de conta				Porta comumente usada		Desligamento/reinicialização do sistema
					Protocolo de Camada de Aplicação Padrão		Negação de serviço de endpoint
							Manipulação de dados

Fonte: https://www.trendmicro.com/
By: David Fiser, Alfredo Oliveira

Ataques de mineração de criptomoeda Linux são aprimorados via CHAOS RAT

Conclusão

Indicadores de compromisso

MITRE ATT&CK

Ex-engenheiro de segurança condenado a 3 anos de prisão por roubo de criptomoedas no valor de US$ 12,3 milhões

FatalRAT tem como alvo usuários de criptomoeda com técnicas de carregamento lateral de DLL

Novo ataque Spectre v2 impacta sistemas Linux em CPUs Intel

Vendas na Dark Web impulsionam grande aumento em ataques de credenciais

Falso ‘cheater’ atrai jogadores para espalhar malware infostealer

Pesquisadores realizam Jailbreak de um dispositivo Cisco para executar DOOM

Ameaças internas(insiders) aumentam 14% anualmente

Possíveis hackers chineses usam OpenMetadata para criptominar

Conclusão

Indicadores de compromisso

MITRE ATT&CK

Matérias Relacionadas

Veja mais..