Вредоносное ПО для Linux пользуется инструментом с открытым исходным кодом для избегания обнаружения

Дата: 27.01.2021. Автор: Артем П. Категории: Новости по информационной безопасности
Вредоносное ПО для Linux пользуется инструментом с открытым исходным кодом для избегания обнаружения

Специалисты по информационной безопасности компании AT&T Alien Labs выяснили, что хакерская группировка TeamTNT улучшила работу своего майнера для Linux, добавив в него функционал инстурмента обхода обнаружения с открытым исходным кодом.

Группировка TeamTNT известна тем, что нацеливается и взламывает открытые в интернете экземпляры Docker для выполнения последующего майнинга Monero. Некоторое время назад операторы этого вредоносного ПО обновили тактику, усовершенствовав свою программу для криптоджекинга в Linux под названием Black-T, чтобы та могла собирать учетные пользовательские данные из скомпрометированных систем.

Теперь TeamTNT в очередной раз обновила своё вредоносное ПО, чтобы снизить вероятность обнаружения вредоноса в системе после заражения устройства и развертывания вредоносной полезной нагрузки для майнинга на устройствах Linux.

Компания AT&T Alien Labs отмечает: «Хакеры из TeamTNT начали активно пользоваться новым инструментом для снижения риска обнаружения их вредоносного ПО. Инструмент был скопирован из репозиториев с открытым исходным кодом. Это инструмент libprocesshider с открытым исходным кодом, который может быть использован для скрытия любого процесса Linux с помощью предзагрузчика ld. Основная задача инструмента – скрытие вредоносного процесса от программ обработки информации, таких как ps и lsof. Это эффективная техника обхода защитный средств».

Инструмент для уклонения от обнаружения развертывается в зараженных системах в виде bash-скрипта в кодировке Base24, встроенного в бинарный файл TeamTNT ircbot или криптомайнер:

«Благодаря использованию libprocesshider TeamTNT снова расширяет свои возможности на основе доступных инструментов с открытым исходным кодом. Хотя новый функционал libprocesshider состоит в том, чтобы избегать обнаружения, он действует как индикатор, который следует учитывать при поиске вредоносной активности на уровне хоста», – сказано в отчете AT&T Alien Labs.

Об авторе Артем П

Представитель редакции CISOCLUB. Пишу новости, дайджесты, добавляю мероприятия и отчеты.
Читать все записи автора Артем П

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *