Xitoylik kiberjinoyatchilar Linux serverlarini nishonga olishmoqda
Hujumchilar buzilgan serverlarga Antd kriptovalyutasini o’rnatmoqdalar.
Taxminlarga ko’ra, Xitoydan tashqarida faoliyat yuritayotgan Pacha Group kiberjinoyatchilar guruhi kriptovalyuta qazib olish uchun zararli dasturlarni joylashtirish uchun Linux serverlarini faol ravishda buzib kirmoqda. Intezer mutaxassislarining fikriga ko’ra, tajovuzkorlar serverlarga bilvosita hujum qilishadi, ammo WordPress yoki PhpMyAdmin ilovalari orqali. Serverga kirish huquqini qo’lga kiritgandan so’ng, ular Linux.GreedyAntd (Antd) zararli dasturini joylashtiradilar. Birinchi hujumlar 2018-yil sentabrida qayd etilgan. Tadqiqotchilarning fikriga ko’ra, ushbu kampaniyada ishlatilgan zararli dasturning manba kodi boshqa zararli dastur – Linux.HelloBot bilan o’xshashliklarga ega. Pacha Group ikkala turdagi zararli dasturlarni parallel ravishda sinovdan o’tkazayotganiga ishoniladi, ammo o’z faoliyatida Antdni afzal ko’radi.
Zararli dastur XMRig maynerining o’zgartirilgan versiyasi bo’lib, u kriptovalyuta hamyon sozlamalari va manzillarini yashirish uchun proksi-serverdan foydalanadi.
Antd modulli tuzilishga ega va bir nechta buyruq va boshqaruv serverlari bilan ishlashi mumkin. Uning keng infratuzilmasi, ko’plab o’zaro bog’liq komponentlari, zararli dasturga hatto C&C serverlari ishlamay qolgan taqdirda ham funksionallikni saqlab qolish imkonini beradi. Bundan tashqari, Antdni zararlangan tizimdan olib tashlash katta kuch talab qiladi, chunki uning xatti-harakati boshqa Linux zararli dasturlaridan farq qiladi. Masalan, maqsadli tizimda qolish uchun cronjob vazifa rejalashtiruvchisidan foydalanish o’rniga, Antd rasmiy mandb xizmatini taqlid qiluvchi Systemd xizmatini qo’shadi. Tadqiqotchilarning ta’kidlashicha, Antd orqa eshigini nimaga qarashni bilmasdan aniqlash juda qiyin.
