Rilevato nuovo Cryptominer, attacchi che utilizzano bot Windows e Linux
Soprannominata Sysrv-hello , la botnet è attiva da dicembre dello scorso anno. Questa botnet multi-architettura di crytpojacking ( T1496 ) esegue la scansione attiva dei server aziendali Windows e Linux vulnerabili e li infetta con Monero miner, oltre a payload di malware che si auto-propagano. Lacework ha scoperto che gli autori delle minacce stanno prendendo di mira i difetti RCE in Apache Solar, Apache Struts, PHPUnit, Confluence, Jira Sonatype, JBoss, Laravel e Oracle WebLogic per l’accesso iniziale.
- Le botnet utilizzano più portafogli collegati a più pool di mining per archiviare criptovalute guadagnate illegalmente. Ciò significa che il minatore ha la capacità di essere abbastanza redditizio.
- Successivamente all’hacking in un server e all’uccisione di cryptominer rivali, il malware si propaga attraverso la rete in attacchi di forza bruta tramite chiavi private SSH accumulate dai server infetti.
BazarLoader Downloader utilizza tecniche di ingegneria sociale
Il downloader di BazarLoader è stato scoperto in due campagne di attacco informatico separate. Entrambe le campagne hanno impiegato tecniche di ingegneria sociale uniche e prodotti popolari utilizzati in molte organizzazioni. È stato individuato per la prima volta lo scorso aprile e da allora i ricercatori hanno scoperto sei varianti.
Cosa è stato scoperto?
I ricercatori che lavorano presso Sophos hanno scoperto che BazarLoader veniva utilizzato in due campagne di attacco.
- Nella prima campagna, gli aggressori prendevano di mira i dipendenti di grandi organizzazioni con e-mail che offrivano informazioni importanti sul servizio clienti, fatture, buste paga o contratti.
- I collegamenti all’interno delle e-mail erano ospitati su BaseCamp o Slack cloud storage e sembravano autentici.
- Nella seconda campagna sono stati identificati i messaggi di spam. Le e-mail parlano di una prova gratuita di un servizio online che sta per scadere e il target deve chiamare il numero di telefono fornito per evitare la scadenza.
- Al momento della chiamata, una persona dall’altra parte chiede loro di visitare l’indirizzo di un sito Web dannoso che diffonde un documento di Office dannoso.
Gli operatori di BazarLoader hanno preso di mira attivamente le vittime utilizzando tecniche di ingegneria sociale uniche. Inoltre, la scoperta di sei varianti mostra uno sviluppo attivo e continuo della minaccia. Pertanto, le organizzazioni dovrebbero impiegare misure di sicurezza adeguate per rimanere protette.