Lucifer cryptomining DDoS στοχεύει τώρα συστήματα Linux


Ένα υβριδικό botnet DDoS γνωστό για τη μετατροπή των ευάλωτων συσκευών των Windows σε Monero cryptomining bots, είναι τώρα επίσης επικίνδυνο και σε συστήματα Linux.

Ενώ οι δημιουργεί του botnet το ονόμασαν Satan DDoS, οι ερευνητές ασφαλείας το αποκαλούν Lucifer για να το διαφοροποιήσουν από το Satan ransomware.

Οι δημιουργοί του Lucifer έχουν επεκτείνει τις δυνατότητες της έκδοσης των Windows για να κλέβουν διαπιστευτήρια και να κλιμακώνουν τα προνόμια, χρησιμοποιώντας το Mimikatz post-exploitation tool.

Όταν εντοπίστηκε για πρώτη φορά από τους ερευνητές του Palo Alto Networks Unit 42  τον Μάιο, το κακόβουλο λογισμικό ήταν στην ουσία η ανάπτυξη ενός XMRig για υπολογιστές με Windows που έχουν μολυνθεί, χρησιμοποιώντας εξοπλισμό υψηλής και κρίσιμης σοβαρότητας όσον αφορά τα τρωτά σημεία,  στα μηχανήματα που είχαν τις θύρες TCP 135 (RPC) και 1433 (MSSQL) ανοιχτές.

Παρόμοιες δυνατότητες με την έκδοση των Windows

Όπως αναφέρεται σε μια έκθεση που δημοσιεύθηκε σήμερα από ερευνητές της ομάδας ATLAS Security Engineering & Response (ASERT) της NETSCOUT, η έκδοση Linux  που ανέβηκε στο VirusTotal στις 9 Ιουλίου του 2020, εμφανίζει το ίδιο μήνυμα με αυτό των Windows.

Η νέα έκδοση του Linux έρχεται με δυνατότητες παρόμοιες με το αντίστοιχο των Windows, συμπεριλαμβανομένων των ενοτήτων που έχουν σχεδιαστεί για cryptojacking και για την έναρξη TCP, UCP, και ICMP με βάση τις επιθέσεις flooding.

Επιπλέον, οι συσκευές Linux που έχουν μολυνθεί από το Lucifer μπορούν να χρησιμοποιηθούν και σε επιθέσεις DDoS που βασίζονται στο HTTP (επιθέσειε HTTP GET, POST-floods και HTTP ‘CC’ DDoS).

Ο πλήρης κατάλογος των επιθέσεων DDoS που μπορούν να ξεκινήσουν χρησιμοποιώντας συσκευές που έχουν προσβληθεί από το Lucifer είναι διαθέσιμη στον πίνακα που βλέπετε παρακάτω.

Attack type DDoS attack
Volumetric TCP_Flood – TCP packets with SYN and ACK bits set, source IP, and port spoofed
UDPFlood – UDP packets with packet payload size set by the attacker
DK_Flood – UDP packets with packet payload size set by the attacker
WZUDP_Flood – UDP packets with source IP and port spoofed
ICMPFlood – ICMP ping request packets with payload size set by the attacker
State Exhaustion SYNFlood – TCP packets with SYN bit set, source IP, and port spoofed
Tcp – TCP packets with SYN bit set
Application Level Attacks Get_CC – HTTP GET request, URL, Referer, and Host headers set by attacker
Post_CC – HTTP POST, URL, and Host header set by attacker
postattack – HTTP POST, URL, and Host header set by attacker
CCAttack – HTTP GET request, URL, and Host header set by attack
MNAttack – HTTP GET request, URL, and Host header set by attack; REMOTE_ADDR, HTTP_CLIENT_IP, and HTTP_X_FOR headers are spoofed
HEAD – HTTP HEAD request, URL, and Host header set by attacker; Referer is set by the bot.

Όλο και πιο επικίνδυνο γίνεται το botnet μεταξύ των πλατφορμών

Προσθέτοντας υποστήριξη για πρόσθετες πλατφόρμες, οι δημιουργοί του Lucifer φροντίζουν να μπορούν να επεκτείνουν τον συνολικό αριθμό των συσκευών που ελέγχονται από το botnet τους.

Αυτό μεταφράζεται σε πολύ περισσότερα κρυπτονομίσματα που  θα εξορύσσονται από το botnet στο μέλλον. Τον Μάιο, όταν εντοπίστηκε για πρώτη φορά, τα πορτοφόλια κρυπτονομισμάτων του Lucifer περιείχαν μόνο $ 30 σε Monero, από επικίνδυνες επιθέσεις DDoS που είχαν ξεκινήσει πιθανότατα σε στόχους.

“Εκ πρώτης όψεως, ένα υβριδικό cryptojacker/DDoS bot φαίνεται να είναι λίγο ασυνήθιστο, αλλά επιτρέπει στους ελεγκτές να εκπληρώσουν τις ανάγκες τους με τη μία, αντί να τους αναγκάζει να χρησιμοποιούν booter/stresser υπηρεσίες ή άλλα botnets DDoS.”

Εγγραφή στο iGuRu.gr μέσω Email

Εισάγετε το email σας για εγγραφή στην υπηρεσία αποστολής ειδοποιήσεων μέσω email για νέες δημοσιεύσεις.


Διαβάστε τις Τεχνολογικές Ειδήσεις από όλο τον κόσμο, με την εγκυρότητα του iGuRu.gr

Ακολουθήσετε μας στο Google News iGuRu.gr at Google news