Специалисты компании Intezer обнаружили вредоносный криптомайнер, разработанный для атак на Linux-системы. Программу Antd (Linux.GreedyAntd) предположительно создала преступная группировка Pacha Group, а первые признаки ее деятельности китайские исследователи засекли еще в сентябре 2018 года.

Для взлома сервера преступники используют установленные на нем приложения для администрирования, например WordPress или phpMyAdmin. Права суперпользователя они получают либо через брутфорс, либо эксплуатируя уже известные уязвимости в устаревших версиях программ.

После получения root-доступа в систему добавляется бинарный ELF-файл, который выполняет сразу несколько функций.

Сначала он проверяет, не установлены ли на сервере другие майнеры, в том числе данной кибергруппировки. Для обнаружения конкурентов дроппер сверяется со списком, а потом немедленно пресекает их деятельность. Зловред просматривает имена процессов, и если находит знакомые, то прекращает свою деятельность. По мнению ИБ-специалистов, такая тактика может стать ключевой и при поиске защиты от вредоноса.

Затем Antd маскируется: создает случайную строку и переименовывает себя, одновременно переписывая и изначальные процессы. На этом этапе он начинает разветвляться, создавая несколько клонов для работы с другими сессиями.

Кроме того, для прикрытия зловред устанавливает службу Systemd, которая имитирует работу системного процесса mandb, предназначенного для создания или обновления кэшей базы данных index.

Затем Antd — модифицированный майнер XMRig — начинает добычу криптовалюты Monero. Настройки и адрес кошелька хранятся не локально, а на прокси-сервере, что значительно затрудняет отслеживание проводимых транзакций.

По мнению исследователей, Antd поддерживает работу сразу с несколькими C&C-центрами, чтобы загружать дополнительные модули.

«Мы полагаем, что столь разветвленная инфраструктура с привлечением такого большого количества компонентов создавалась, чтобы обеспечить трояну устойчивость к остановкам сервера, а также чтобы привнести в него элемент модульности, — пояснили специалисты Intezer. — Более того, очистить систему от множества соединенных друг с другом составляющих гораздо труднее».

Исследователи также отметили, что исходный код Antd структурно напоминает другой зловред — Linux.HelloBot, обнаруженный в январе и предположительно также входящий в арсенал Pacha Group.

Linux-серверы регулярно попадают под удар криптомайнеров. Так, в январе группировка Rocke использовала для атак уязвимости в Apache Struts 2 или Adobe ColdFusion, а пока еще неизвестные преступники — брешь во фреймворке ThinkPHP. Далее все зловреды действовали по схожему сценарию: удаляли конкурентов и маскировались, однако ни один из них не имел разветвленной структуры, как Antd.

Категории: Аналитика, Вредоносные программы