永胜在线安全研究人员发现了一种隐秘的新型加密货币挖掘恶意软件变种,该变种被用作攻击的一部分,几乎感染了整个组织。
在接到客户端组织中应用程序不稳定和网络速度减慢的通知后,安全公司Varonis决定进一步调查。
几乎每台服务器和工作站都被恶意软件感染。大多数是密码器的通用变种。有些是密码转储工具,有些是隐藏的PHP shell,有些已经存在好几年了,”它在一篇博客文章中解释道。
“在我们发现的所有密码器样本中,有一个非常突出。我们给它起名叫‘诺曼’。”
诺曼是一名高性能的莫内罗货币矿工,与其他许多在其复杂的隐藏尝试中发现的样本不同。
不同寻常的是,它是用Nullsoft Scriptable Install System (NSIS)编译的,这是一个通常用于创建Windows安装程序的开源系统。
Varonis说,注入有效载荷的设计目的是执行加密货币挖掘器并保持隐藏。
当好奇的用户打开任务管理器时,它通过终止miner函数来避免检测。一旦关闭,它将重新注入矿机并重新启动。
矿工本身是XMRig,混淆在恶意软件UPX和注入到记事本或浏览器取决于执行路径。
Varonis认为,它发现的加密货币挖掘恶意软件可以链接到它在受害者组织中发现的一个PHP shell,该shell不断连接到一个命令和控制(C2)服务器。和Norman一样,PHP shell对C2通信使用DuckDNS。
“所有的恶意软件样本都没有任何横向移动的能力,尽管它们已经扩散到不同的设备和网络段,”该公司解释道。“虽然威胁行动者可以单独感染每台主机(可能通过最初感染时使用的相同载体),但使用php外壳横向移动并感染受害者网络中的其他设备会更有效。”
不过,该公司还声称,这两款软件在编码上没有相似之处,也没有加密挖掘恶意软件和PHP shell之间的通信功能。
恶意软件的作者可能会说法语,因为一些代码中存在这种语言。
Varonis敦促担心密码窃取的公司:让操作系统保持最新;监控网络流量和web代理;维护端点的杀毒功能;监视DNS和CPU活动;并有一个事件响应计划准备和测试。