Eine Golang-basierte Malware hat seit Anfang Dezember aktiv XMRig-Kryptowährungs-Miner auf Windows- und Linux-Servern abgelegt zum Monerominen
Ein neuer, in Golang geschriebener Wurm, missbraucht Windows- und Linux-Server dazu, um die Kryptowährung Monero zu minen. Das fanden Sicherheitsforscher von Intezer heraus. Sie berichteten darüber auf ihrem Blog.
Intezer, ein New Yorker Unternehmen, wirbt damit, „eine Technologie zur Analyse genetischer Malware eingeführt zu haben, mit der Unternehmen Cyber-Bedrohungen erkennen und effektiv auf Vorfälle reagieren können.“ Anfang Dezember entdeckte das Team einen neuen, bisher noch unbekannten Wurm, den Entwickler in Golang geschrieben haben. Wie die Forscher ausführen, versucht der Wurm, sich über das Netzwerk zu verbreiten. Sein Ziel ist es dabei, XMRig Miner in großem Umfang auszuführen. Die Malware zielt sowohl auf Windows- als auch auf Linux-Server ab. Zudem kann sie problemlos von einer Plattform zur anderen manövrieren. Der Wurm nutzt öffentlich zugängliche Dienste, wie MySQL, Tomcat Admin Panel und Jenkins. Er setzt hierbei auf eine Verwendung von schwachen Passwörtern.
Golang Wurm: Anfang Dezember 2020 aufgespürt
Die Angreifer hinter dieser Kampagne haben die Funktionen des Wurms über seinen Command-and-Control-Server (C2) ständig aktualisiert, seit er zum ersten Mal entdeckt wurde. Das lässt auf eine aktive Hacking-Crew schließen. Der C2-Server verwenden die Hacker, um das Bash- oder PowerShell-Dropper-Skript (abhängig von der Zielplattform), einen Golang-basierten Binärwurm, und den XMRig-Miner zu hosten.
Der Cybercrime-Angriff verwendet infolge diese drei Dateien. Da sich der Wurm selbstständig in Netzwerken weiterverbreitet, kann er infolge die Ressourcen mehrerer Server zum Kryptomining nutzen. Sobald es ihm gelungen ist, einen der Zielserver zu gefährden, wird das Loader-Skript (ld.sh für Linux und ld.ps1 für Windows) bereitgestellt. Bei dem Angriffsfluss für MySQL: Port 3306 geht der Wurm beispielsweise wie folgt vor:
„Die Malware führt einen Brute-Force-Angriff durch. Der Wurm verwendet für diesen Angriff ein fest codiertes Wörterbuch mit schwachen Anmeldeinformationen, z. B. root: 123456. Nach einer erfolgreichen Anmeldung führt man einen Shellcode aus, um eine lokale Eskalation von Berechtigungen mithilfe von MySQL-UDF zu erhalten. Die Exploits sind als Hex-String in die Binärdatei eingebettet. Der Wurm hat einen Exploit für jedes Betriebssystem und jede Architektur (UDFLINUX32, UDFLINUX64, UDFLWIN32 und UDFWIN64). Nach dem Ausführen des Exploits verwendet die Nutzlast den Befehl sys_exec, um das Loader-Skript zu löschen und auszuführen.“
Avigayil Mechtinger vom Intezer-Team informiert
„Die Tatsache, dass der Code des Wurms sowohl für seine PE- als auch für seine ELF-Malware nahezu identisch ist – und dass VirusTotal die ELF-Malware nicht erkennt – zeigt, dass Linux-Bedrohungen für die meisten Sicherheits- und Erkennungsplattformen immer noch unter dem Radar fliegen.“
Um sich gegen Brute-Force-Angriffe zu verteidigen, die von diesem neuen plattformübergreifenden Golang Wurm gestartet werden, sollte man die Anmeldungen einschränken und schwer zu erratende Kennwörter für alle im Internet verfügbaren Dienste verwenden. Auch eine Zwei-Faktor-Authentifizierung ist anzustreben. Zudem ist angeraten, seine Software mit den neuesten Sicherheitspatches auf dem aktuellen Stand zu halten.
Tarnkappe.info
