Найден необычный скрытый майнер под Linux⛏🕶
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Специалисты по кибербезопасности из японской компании Trend Micro обнаружили криптовалютный майнер KORKERDS, который себя крайне странно вёл.
Совсем недавно команда Trend Micro обнаружила, что теперь хакеры устанавливают вредоносное ПО для скрытого майнинга криптовалюты вместе с инсталлятором Windows. Специалисты продолжили свои исследования и выявили другой майнер под названием KORKERDS.
📌Пока непонятно каким образом распространяется угроза. Однако, скорее всего, загрузка майнера происходит уже после установки некого ПО или через скомпрометированный плагин.
Майнеру, который добывает Monero, был присвоен идентификатор Coinminer.Linux.KORKERDS.AB. Также используется другой компонент — руткит (Rootkit.Linux.KORKERDS.AA), который «прячет» процесс майнинга от инструментов для мониторинга. После начала работы скрытого майнера в системе загрузка процессора возрастает до 100%. Однако обычному пользователю крайне сложно выяснить причину этого.
🔽Ситуацию усложняет руткит или набор программных средств, которые использую хуки (технологию перехвата вызовов функций в чужих процессах) для API readdir и readdir64, и библиотеки libc. Нормальный файл библиотеки перезаписывается, при этом readdir подменяется фальшивой версией. Вредоносная версия readdir используется для сокрытия процесса майнинга (kworkerds). Поэтому выявить майнер крайне трудно, даже несмотря на то, что загрузка процессора свидетельствует о подозрительной активности.
📍Исследователи из Trend Micro считают, что новый майнер может представлять угрозу не только для серверов, но и для обычных пользователей Linux.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Found an unusual hidden miner under Linux⛏🕶
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Cybersecurity experts from Trend Micro, Japan, discovered the cryptocurrency miner KORKERDS, which behaved very strangely.
More recently, the Trend Micro team discovered that hackers are now installing malware for hidden mining cryptocurrencies along with the Windows installer. Experts continued their research and found another miner called KORKERDS.
📌 It is not clear how the threat spreads. However, most likely, the miner’s download occurs after installing some software or through a compromised plug-in.
Miner, who produces Monero, was assigned the identifier Coinminer.Linux.KORKERDS.AB. Another component is also used - the rootkit (Rootkit.Linux.KORKERDS.AA), which “hides” the mining process from monitoring tools. After starting the work of the hidden miner in the system, the CPU load increases to 100%. However, the average user is extremely difficult to find out the reason for this.
🔽The situation is complicated by a rootkit or a set of software tools that use hooks (technology to intercept function calls in foreign processes) for the readdir and readdir64 APIs, and the libc library. The normal library file is overwritten, with readdir being replaced with a fake version. The malicious version of readdir is used to hide the mining process (kworkerds). Therefore, it is extremely difficult to identify a miner, even though the processor load indicates suspicious activity.
Trend Trend Micro researchers believe that the new miner could pose a threat not only to servers, but also to ordinary Linux users.
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
#linux #trend #micro #скрытыймайнер #Monero #XMR
#miner #Linux #майнер
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Специалисты по кибербезопасности из японской компании Trend Micro обнаружили криптовалютный майнер KORKERDS, который себя крайне странно вёл.
Совсем недавно команда Trend Micro обнаружила, что теперь хакеры устанавливают вредоносное ПО для скрытого майнинга криптовалюты вместе с инсталлятором Windows. Специалисты продолжили свои исследования и выявили другой майнер под названием KORKERDS.
📌Пока непонятно каким образом распространяется угроза. Однако, скорее всего, загрузка майнера происходит уже после установки некого ПО или через скомпрометированный плагин.
Майнеру, который добывает Monero, был присвоен идентификатор Coinminer.Linux.KORKERDS.AB. Также используется другой компонент — руткит (Rootkit.Linux.KORKERDS.AA), который «прячет» процесс майнинга от инструментов для мониторинга. После начала работы скрытого майнера в системе загрузка процессора возрастает до 100%. Однако обычному пользователю крайне сложно выяснить причину этого.
🔽Ситуацию усложняет руткит или набор программных средств, которые использую хуки (технологию перехвата вызовов функций в чужих процессах) для API readdir и readdir64, и библиотеки libc. Нормальный файл библиотеки перезаписывается, при этом readdir подменяется фальшивой версией. Вредоносная версия readdir используется для сокрытия процесса майнинга (kworkerds). Поэтому выявить майнер крайне трудно, даже несмотря на то, что загрузка процессора свидетельствует о подозрительной активности.
📍Исследователи из Trend Micro считают, что новый майнер может представлять угрозу не только для серверов, но и для обычных пользователей Linux.
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Found an unusual hidden miner under Linux⛏🕶
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Cybersecurity experts from Trend Micro, Japan, discovered the cryptocurrency miner KORKERDS, which behaved very strangely.
More recently, the Trend Micro team discovered that hackers are now installing malware for hidden mining cryptocurrencies along with the Windows installer. Experts continued their research and found another miner called KORKERDS.
📌 It is not clear how the threat spreads. However, most likely, the miner’s download occurs after installing some software or through a compromised plug-in.
Miner, who produces Monero, was assigned the identifier Coinminer.Linux.KORKERDS.AB. Another component is also used - the rootkit (Rootkit.Linux.KORKERDS.AA), which “hides” the mining process from monitoring tools. After starting the work of the hidden miner in the system, the CPU load increases to 100%. However, the average user is extremely difficult to find out the reason for this.
🔽The situation is complicated by a rootkit or a set of software tools that use hooks (technology to intercept function calls in foreign processes) for the readdir and readdir64 APIs, and the libc library. The normal library file is overwritten, with readdir being replaced with a fake version. The malicious version of readdir is used to hide the mining process (kworkerds). Therefore, it is extremely difficult to identify a miner, even though the processor load indicates suspicious activity.
Trend Trend Micro researchers believe that the new miner could pose a threat not only to servers, but also to ordinary Linux users.
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
#linux #trend #micro #скрытыймайнер #Monero #XMR
#miner #Linux #майнер
Клиентов Amazon Web Services предупредили о наличии в системе скрытых майнеров Monero☝️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Израильская компания из сферы кибербезопасности Mitiga рекомендовала пользователям определенных приложений в составе Amazon Web Services проверить свои системы на наличие в них скрытых майнеров криптовалюты Monero.
📌Согласно аналитикам, в зоне риска находятся клиенты веб-сервиса Amazon Elastic Compute Cloud или EC2, предоставляющего вычислительные мощности в облаке, которые используют подготовленные сообществом образы машины Amazon (AMI). Если такая машина будет содержать скрытый майнер, он может поглотить все вычислительные ресурсы, арендованные клиентом у Amazon. При этом злоумышленники пользуются преимуществами приватной криптовалюты Monero для сокрытия своих следов, как и в большинстве других сценариев скрытого майнинга.
✅Mitiga проводили оценку инфраструктуры AWS финансового учреждения из числа своих клиентов, когда наткнулись на скрытый майнер. Он был установлен на виртуальной машине под управлением Microsoft Windows – Server 2008. Как отмечают аналитики, хакеры опубликовали зараженный образ машины на AWS с целью осуществления финансового мошенничества: клиент платит по счетам, тогда как арендованные мощности идут на добычу криптовалюты для их обогащения.
🔺«Установка подготовленного сообществом кода в критическую для бизнеса инфраструктуру несет значительные риски, – заявили в компании. – Это еще один пример риска на современных облачных маркетплейсах, предлагающих простые в обращении решения, но в то же время способные содержать вредоносный код или исполняемые файлы, зачастую из неизвестных источников».
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Amazon Web Services customers warned of hidden Monero miners☝️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Israeli cybersecurity company Mitiga has recommended that users of certain applications within Amazon Web Services check their systems for hidden Monero cryptocurrency miners.
📌Analysts at risk are customers of the Amazon Elastic Compute Cloud or EC2 cloud computing service using community-rendered Amazon Machine Images (AMIs). If such a machine contains a hidden miner, it can consume all the computing resources leased by the client from Amazon. At the same time, attackers take advantage of the private cryptocurrency Monero to hide their traces, as in most other hidden mining scenarios.
✅Mitiga was evaluating the AWS infrastructure of a client financial institution when they stumbled upon a hidden miner. It was installed on a virtual machine running Microsoft Windows - Server 2008. According to analysts, the hackers published an infected image of the machine on AWS in order to carry out financial fraud: the client pays the bills, while the leased facilities are used to extract cryptocurrency to enrich them.
🔺 “Installing community-generated code in a business-critical infrastructure carries significant risks,” the company said. "This is yet another example of risk in today's cloud marketplaces, offering solutions that are easy to use, yet capable of containing malicious code or executable files, often from unknown sources."
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
#web #amazon #наличие #monero #зона #aws #состав #cloud #кибербезопасность
#microsoft #скрытыймайнер #mining
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Израильская компания из сферы кибербезопасности Mitiga рекомендовала пользователям определенных приложений в составе Amazon Web Services проверить свои системы на наличие в них скрытых майнеров криптовалюты Monero.
📌Согласно аналитикам, в зоне риска находятся клиенты веб-сервиса Amazon Elastic Compute Cloud или EC2, предоставляющего вычислительные мощности в облаке, которые используют подготовленные сообществом образы машины Amazon (AMI). Если такая машина будет содержать скрытый майнер, он может поглотить все вычислительные ресурсы, арендованные клиентом у Amazon. При этом злоумышленники пользуются преимуществами приватной криптовалюты Monero для сокрытия своих следов, как и в большинстве других сценариев скрытого майнинга.
✅Mitiga проводили оценку инфраструктуры AWS финансового учреждения из числа своих клиентов, когда наткнулись на скрытый майнер. Он был установлен на виртуальной машине под управлением Microsoft Windows – Server 2008. Как отмечают аналитики, хакеры опубликовали зараженный образ машины на AWS с целью осуществления финансового мошенничества: клиент платит по счетам, тогда как арендованные мощности идут на добычу криптовалюты для их обогащения.
🔺«Установка подготовленного сообществом кода в критическую для бизнеса инфраструктуру несет значительные риски, – заявили в компании. – Это еще один пример риска на современных облачных маркетплейсах, предлагающих простые в обращении решения, но в то же время способные содержать вредоносный код или исполняемые файлы, зачастую из неизвестных источников».
🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸🇺🇸
Amazon Web Services customers warned of hidden Monero miners☝️
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
Israeli cybersecurity company Mitiga has recommended that users of certain applications within Amazon Web Services check their systems for hidden Monero cryptocurrency miners.
📌Analysts at risk are customers of the Amazon Elastic Compute Cloud or EC2 cloud computing service using community-rendered Amazon Machine Images (AMIs). If such a machine contains a hidden miner, it can consume all the computing resources leased by the client from Amazon. At the same time, attackers take advantage of the private cryptocurrency Monero to hide their traces, as in most other hidden mining scenarios.
✅Mitiga was evaluating the AWS infrastructure of a client financial institution when they stumbled upon a hidden miner. It was installed on a virtual machine running Microsoft Windows - Server 2008. According to analysts, the hackers published an infected image of the machine on AWS in order to carry out financial fraud: the client pays the bills, while the leased facilities are used to extract cryptocurrency to enrich them.
🔺 “Installing community-generated code in a business-critical infrastructure carries significant risks,” the company said. "This is yet another example of risk in today's cloud marketplaces, offering solutions that are easy to use, yet capable of containing malicious code or executable files, often from unknown sources."
🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥🔥
#web #amazon #наличие #monero #зона #aws #состав #cloud #кибербезопасность
#microsoft #скрытыймайнер #mining