Исследователи из Anomali описали алгоритм работы нового зловреда, обнаруженного в рамках изучения двух криптоджекинг-кампаний, нацеленных на устройства под управлением Linux. Штаммы Linux Rabbit и Rabbot, основанные на одном и том же коде, с августа по октябрь 2018 года атаковали компьютеры и IoT-устройства, внедряя на них программы для добычи криптовалюты Monero.

Два варианта вредоносной программы использовали одинаковые алгоритмы, но отличались целями и способами распространения.

Linux Rabbit, чья активность была зафиксирована в августе этого года, атаковал только серверы в США, России, Великобритании и Южной Корее. Кампания Rabbot продолжалась с сентября по октябрь и добавила в список целей устройства Интернета вещей. Второй штамм обладал функциями сетевого червя и эксплуатировал ряд известных брешей для проникновения в уязвимую систему.

Попав на инфицированный компьютер, Linux Rabbit связывался с командным сервером через Tor-шлюз и запрашивал полезную нагрузку, которая отличалась в зависимости от процессора атакуемой системы. На устройства, основанные на архитектуре x86, зловред устанавливал майнер CNRig, в случае использования ARM или MIPS — Coinhive.

Для удобства внедрения скриптов, генерирующих криптовалюту, Linux Rabbit взламывал  SSH-сервер через брутфорс. Прежде чем подобрать пароль к службе, зловред проверял местоположение хоста и прекращал свою работу, если тот не принадлежал одной из четырех целевых стран. Кроме того, вредоносная программа выполняла проверку на запуск в песочнице, а также прописывалась в файле автозагрузки rc.local и добавляла себя в список сценариев .bashrc.

Если зараженная машина оказывалась веб-сервером, зловред внедрял скрипт-майнер на все страницы ресурса, пытаясь расширить круг потенциальных жертв. Как выяснили исследователи, Linux Rabbit мог получать апдейты из центра управления, а также обладал системой самоуничтожения.

В отличие от первого варианта зловреда, Rabbot использовал для доставки полезной нагрузки незащищенные TCP-порты и не проверял местоположение устройства. Программа эксплуатировала уязвимости в роутерах Zyxel, баги коммуникационного оборудования Dell, а также бреши операционной системы Red Hat, чтобы проникнуть в целевую систему. Кроме того, злоумышленники атаковали системы видеонаблюдения NUUO через эксплойт Peekaboo, который позволяет нападающим получить полный контроль над IP-камерами.

Категории: Аналитика, Вредоносные программы, Уязвимости