Elastic Security Labs découvre une campagne de logiciels malveillants pour Linux, révélant un potentiel système de minage de bitcoins
septembre 2024 par Elastic
Elastic Security Labs a découvert une campagne sophistiquée de logiciels malveillants sous Linux ciblant des serveurs vulnérables. L’enquête a révélé un schéma potentiel de minage de Bitcoin/XMR qui exploite des API de jeu, suggérant que les acteurs de la menace pourraient mener des activités de blanchiment d’argent en utilisant des hôtes compromis.
Voici quelques détails notables concernant cette enquête :
• La compromission initiale a eu lieu en mars 2024 par l’exploitation d’un serveur web Apache2.
• Les auteurs de la menace ont utilisé une combinaison d’outils et de logiciels malveillants, dont GSOCKET, pour créer des canaux de commande et de contrôle chiffrés déguisés en processus du kernel, des bots de télégrammes pour la communication et des tâches cron pour l’exécution de tâches programmées.
• Ils ont également déployé plusieurs familles de logiciels malveillants, tels que KAIJI, connu pour ses capacités DDoS, et RUDEDEVIL, un mineur de cryptomonnaie, ainsi que des logiciels malveillants écrits sur mesure.
• Elastic Security Labs a eu accès à un partage de fichiers qui hébergeait des téléchargements quotidiens d’échantillons frais de KAIJI avec des hachages inédits