https://www.csoonline.com/article/3648996/savvy-cryptomining-malware-campaign-targets-asian-cloud-service-providers.html#tk.rss_all
CoinStompマルウェアによって展開される攻撃手法には、タイムスタンプ(ファイルのタイムスタンプの変更)、システム暗号化ポリシーの削除、および悪意のあるソフトウェアとのコマンドアンドコントロール通信を開始するためのリバースシェルの使用が含まれます。
マルウェアは暗号化ポリシーファイルを削除します
コマンドを発行してマルウェアを制御するために、Linuxシステムで/ dev / tcpファイルを使用してリバースシェルが作成されます。
「当然、これはマルウェア開発者に最適です。これは、リバースシェルまたはC2通信チャネルを作成するための簡単でネイティブにサポートされている方法だからです。」
「/ dev / tcpはLinuxにネイティブであり、他のコンピューターと通信するように設計されているため、攻撃者はこのファイルを利用して、HTTPなどの一般的な予想されるネットワークトラフィックのように見せかけることができます」と北米の運営委員会であるNasserFattah氏は付け加えます。
/ dev / tcpを使用して通信用のリバースシェルを作成することも高度な手法である、とMuir氏は付け加えました。
精通したクリプトマイニングマルウェアキャンペーンは、アジアのクラウドサービスプロバイダーであるJohn P. MelloJrを対象としています。
security summary
コメント