Abbiamo scritto in precedenza di scenari di cryptojacking che coinvolgono macchine Linux e specifiche istanze di cloud computing prese di mira da attori di minacce attivi in questo spazio come TeamTNT. Abbiamo riscontrato che le routine e la catena di eventi erano abbastanza simili, anche se coinvolgevano diversi attori delle minacce: la fase iniziale vedeva gli aggressori cercare di eliminare malware, prodotti di sicurezza e altri middleware cloud concorrenti. Seguono le routine per la persistenza e l’esecuzione del payload, che nella maggior parte dei casi è un miner di criptovaluta Monero (XMR). Per le minacce più sofisticate, abbiamo osservato anche capacità che hanno permesso la diffusione a più dispositivi. Nel novembre 2022, abbiamo intercettato una minaccia che aveva una routine leggermente diversa e incorporava un trojan avanzato per l’accesso remoto (RAT) chiamato CHAOS Remote Administrative Tool (Trojan.Linux.CHAOSRAT), che si basa su un progetto open source. Si noti che il flusso originale che prevedeva la terminazione di malware concorrenti come Kinsing e l’eliminazione delle risorse che influenzano le prestazioni del mining di criptovalute è rimasto invariato. Il malware ottiene la sua persistenza alterando il file /etc/crontab, un task scheduler UNIX che, in questo caso, si scarica ogni 10 minuti da Pastebin.
Segue il download di ulteriori payload: un miner XMRig, il suo file di configurazione, uno script di shell che esegue il loop di “competition killer” e, soprattutto, il RAT stesso. Lo script principale del downloader e gli altri payload sono ospitati in luoghi diversi per garantire che la campagna rimanga attiva e si diffonda costantemente. Gli script mostrano che il server principale, utilizzato anche per il download dei payload, sembra essere situato in Russia, con dati whois storici che mostrano che viene utilizzato anche per l’hosting cloud bulletproof (un modus operandi che è stato utilizzato in precedenza da team di hacker – utilizzando strumenti open source – che hanno concentrato i loro attacchi su infrastrutture cloud, container e ambienti Linux). Questo server di comando e controllo (C&C) viene utilizzato solo per fornire i payload – Chaos RAT si connette a un altro server C&C, probabilmente situato a Hong Kong (che abbiamo determinato attraverso la geolocalizzazione IP). Quando è in esecuzione, il client RAT si connette al server C&C tramite il suo indirizzo e la sua porta predefinita, utilizzando un JSON Web Token (JTW) per l’autorizzazione.
Dopo la connessione e l’autorizzazione, il client invia informazioni dettagliate sul computer infetto al server C&C utilizzando il comando /device.
Il RAT è un binario compilato in Go con le seguenti funzioni:
- Eseguire una shell inversa
- Scaricare file
- Caricare file
- Eliminare i file
- Eseguire screenshot
- Accedere all’esploratore di file
- Raccogliere informazioni sul sistema operativo
- Riavviare il PC
- Spegnere il PC
- Aprire un URL
Una caratteristica interessante della famiglia di malware che abbiamo intercettato è che l’indirizzo e il token di accesso vengono passati come flag di compilazione e hardcoded all’interno del client RAT, sostituendo qualsiasi dato all’interno delle variabili del codice principale.
Conclusione
In superficie, l’incorporazione di un RAT nella routine di infezione di un malware per il mining di criptovalute potrebbe sembrare relativamente minore. Tuttavia, data la gamma di funzioni dello strumento e il fatto che questa evoluzione dimostra che gli attori delle minacce basate sul cloud stanno ancora evolvendo le loro campagne, è importante che sia le organizzazioni che i singoli individui rimangano estremamente vigili quando si tratta di sicurezza. Nella nostra ricerca sui gruppi di minatori di criptovalute basati sul cloud, abbiamo fornito diverse misure concrete e best practice che le aziende possono implementare per rafforzare la loro posizione difensiva. Le organizzazioni possono anche prendere in considerazione potenti tecnologie di sicurezza in-the-cloud come Trend Micro Cloud One™ – Workload Security, che aiuta a difendere i sistemi da exploit di vulnerabilità, malware e modifiche non autorizzate. Utilizzando tecniche come l’apprendimento automatico (ML) e il patching virtuale, è in grado di proteggere automaticamente i carichi di lavoro nuovi ed esistenti da minacce note e sconosciute.