«Закиньте немного крипты»: разработчики вредоносного ПО уже совсем обнаглели

Недавно эксперты из Elastic Security Labs обнаружили сложную вредоносную кампанию REF6138, направленную на уязвимые серверы Linux. Хакеры начали свою зловредную активность в марте 2024 года, используя уязвимость на веб-сервере Apache2. После получения доступа злоумышленники развернули целый набор инструментов и вредоносного ПО для закрепления присутствия на скомпрометированном хосте и дальнейшего расширения контроля.

Атакующие использовали различные вредоносные программы, включая KAIJI, известный своими DDoS-способностями, и RUDEDEVIL, представляющий собой криптомайнер, который эксплуатирует ресурсы системы для своих целей.

В ходе расследования специалисты обнаружили возможную схему майнинга Bitcoin и XMR, основанную на использовании API азартных игр. Это предполагает, что злоумышленники могли использовать скомпрометированные хосты для отмывания денег. Кроме того, исследователи получили доступ к файловому серверу, который ежедневно обновлялся свежими образцами KAIJI, свидетельствуя об активной разработке и модификации вредоносного ПО.

Для скрытой коммуникации злоумышленники использовали Telegram-ботов, поддельные процессы ядра и инструмент планирования задач cron. Атака началась с получения удалённого доступа к Apache2 и загрузки скрипта под названием «00.sh». Этот скрипт удалял системные логи, убирал конкурирующие майнинговые процессы и устанавливал дополнительные вредоносные файлы. Для дальнейшего управления скомпрометированным сервером злоумышленники использовали сервер с файловым хранилищем, содержащий различные образцы вредоносного ПО для разных архитектур.

Одним из основных компонентов кампании стал RUDEDEVIL, который отличался специфическим сообщением от автора внутри своего кода, а также выполнял ряд задач, таких как установка в систему, использование сокетов для связи и контроль сетевой активности. Кроме того, анализ этого вредоносного ПО выявил использование XOR-шифрования для маскировки данных.

Касательно специфического сообщения, в коде RUDEDEVIL специалисты выявили следующие строки, адресованные экспертам по безопасности: «Привет, дружище. Я видел, что уже несколько организаций за последнее время сообщили о моём трояне. Пожалуйста, не мешайте мне. Я просто хочу купить машину. Я не хочу никому вредить или делать что-то незаконное. Если несложно, закиньте мне немного крипты следующий XMR-кошелёк...».

Это сообщение может быть попыткой вызвать сочувствие или отвлечь внимание исследователей, однако, в любом случае, оно является уникальной фишкой RUDEDEVIL и подогревает определённый интерес к его автору.

Возвращаясь к разбору вредоносной кампании, злоумышленники также использовали инструменты для мониторинга процессов и сетевой активности. Они могли контролировать нагрузку процессора и отправлять информацию о системе на управляющие серверы через защищённые каналы.

Другим инструментом злоумышленников стал GSOCKET — утилита для зашифрованной связи между системами, скрывающая свою активность за системными процессами ядра. В ходе атаки также использовалась уязвимость CVE-2021-4034 (pwnkit) для получения привилегий root.

Как можно заметить, киберпреступники становятся всё более изобретательными, комбинируя различные методы для получения контроля над системами и максимизации своей прибыли. Их подходы показывают, что они готовы идти на всё ради своей выгоды, даже апеллируя к сочувствию исследователей. В такой динамично развивающейся сфере киберугроз своевременное обнаружение и защита становятся ключевыми факторами, а простое понимание риска может сыграть решающую роль в предотвращении серьёзных последствий.