最新消息:本站介绍:国外VPS、云服务器,海外服务器,一手资源推荐平台

黑客使用CHAOS RAT攻击Linux服务器

网络安全 快米云 来源:快米云 30浏览

黑客使用 CHAOS Rat 攻击 Linux 服务器

  • 趋势科技拦截了一个略有不同的例程的威胁,并结合了一个高级远程访问木马。
  • 恶意软件通过更改 /etc/crontab 文件(一个 UNIX 任务计划程序)实现其持久性,并每 10 分钟从 Pastebin 下载一次自身
  • 它还下载了一个 XMRig 矿工、它的配置文件、一个循环“竞争杀手”的 shell 脚本,最重要的是,RAT 本身。

Trend Micro宣布,该团队在 11 月发现了一种威胁,该威胁使用不同的路由并使用基于开源项目的高级远程访问木马CHAOS Remote Administrative Tools。该恶意软件能够终止竞争恶意软件并杀死影响加密货币挖掘性能的资源。

加密劫持

为了实现持久性,恶意软​​件会更改 /etc/crontab 文件,这是一个 UNIX 任务计划程序,每 10 分钟从 Pastebin 下载一次。它还下载有效负载,包括 XMRig 矿工、其配置文件、循环“竞争杀手”的 shell 脚本和 RAT。有效负载和主要下载程序脚本托管在不同的位置。趋势科技表示,根据脚本,用于下载有效载荷的主服务器位于俄罗斯。历史whois数据显示,它也被用于云防弹托管。

命令和控制服务器仅提供有效载荷。因此,CHAOS RAT 根据其 IP 地理位置连接到位于香港的另一台服务器。RAT 客户端通过其地址和默认端口连接到 C&C 服务器,使用 JSON Web Token 进行授权。授权成功后,有关受感染机器的详细信息将使用命令/device发送到服务器 。RAT 是 Go 编译的二进制文件,具有以下功能:

  • 执行反向shell
  • 下载文件
  • 上传文件
  • 删除文件
  • 截图
  • 访问文件资源管理器
  • 收集操作系统信息
  • 重启电脑
  • 关闭电脑
  • 打开一个网址

趋势科技表示,

« 从表面上看,将 RAT 纳入加密货币挖矿恶意软件的感染例程似乎相对较小。然而,鉴于该工具的一系列功能以及这一演变表明基于云的威胁参与者仍在不断发展其活动这一事实,组织和个人在安全方面保持格外警惕是很重要的。在我们对基于云的加密货币挖矿集团的研究中,我们提供了一些企业可以实施的具体措施和最佳实践,以帮助加强他们的防御态势。»

转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 黑客使用CHAOS RAT攻击Linux服务器