شناسایی Botnet معدن پیشرفته پس از 2 سال شناسایی شد

شرکت امنیت سایبری، آزمایشگاه های Guardicore، شناسایی یک بات نت مخرب استخراج رمزنگاری را فاش کرد که نزدیک به دو سال است که در اول آوریل فعالیت می کند.

بازیگر تهدید دوبلهولگاربر اساس استخراج آلتکوین کمتر شناخته شده، Vollar (VSD)، ماشین‌های ویندوزی را هدف قرار می‌دهد که سرورهای MS-SQL را اجرا می‌کنند – که گاردیکور تخمین می‌زند که از این تعداد فقط 500,000 در سراسر جهان وجود دارد.

با این حال، با وجود کمیاب بودن، سرورهای MS-SQL علاوه بر اینکه معمولاً اطلاعات ارزشمندی مانند نام کاربری، رمز عبور و جزئیات کارت اعتباری را ذخیره می کنند، قدرت پردازش قابل توجهی را ارائه می دهند.

شبکه بدافزار پیچیده استخراج رمزنگاری شناسایی شد

هنگامی که یک سرور آلوده می شود، وولگار قبل از استقرار چندین درب پشتی، ابزارهای دسترسی از راه دور (RAT) و ماینرهای رمزنگاری، «با جدیت و به طور کامل فرآیندهای دیگر عوامل تهدید را از بین می برد».

60٪ تنها برای مدت کوتاهی توسط Vollgar آلوده شدند، در حالی که تقریبا 20٪ تا چند هفته آلوده باقی ماندند. مشخص شد که 10 درصد از قربانیان مجدداً توسط این حمله آلوده شده اند. حملات Vollgar از بیش از 120 آدرس IP سرچشمه گرفته اند که بیشتر آنها در چین قرار دارند. گاردیکور انتظار دارد که بیشتر آدرس‌های مربوط به ماشین‌های در معرض خطری باشد که برای آلوده کردن قربانیان جدید استفاده می‌شوند.

Guidicore بخشی از تقصیر را متوجه شرکت‌های میزبان فاسد می‌کند که چشمان خود را بر روی عوامل تهدید ساکن سرورهایشان می‌بندند و بیان می‌کند:

متأسفانه ، ثبت کنندگان فراموشی یا غفلت و شرکت های میزبان بخشی از این مشکل هستند ، زیرا آنها به مهاجمان اجازه می دهند از آدرس های IP و نام دامنه برای میزبانی زیرساخت ها استفاده کنند. اگر این ارائه دهندگان به گونه ای دیگر نگاه کنند ، حملات در مقیاس گسترده به رونق ادامه خواهد یافت و برای مدت طولانی تحت رادار فعالیت می کنند. "

معادن ولگار یا دو دارایی کریپتو

اوفیر هارپاز، محقق امنیت سایبری گاردیکور، به کوین تلگراف گفت که وولگار دارای ویژگی های متعددی است که آن را از اکثر حملات کریپجاپ متمایز می کند.

ابتدا، بیش از یک ارز دیجیتال استخراج می کند - Monero و آلت کوین VSD (Vollar). علاوه بر این، وولگار از یک استخر خصوصی برای هماهنگ کردن کل بات نت استخراج استفاده می کند. این چیزی است که فقط یک مهاجم با یک بات نت بسیار بزرگ می تواند انجام دهد."

هارپاز همچنین خاطرنشان می‌کند که برخلاف اکثر بدافزارهای استخراج، Vollgar به دنبال ایجاد چندین منبع درآمد بالقوه با استقرار چندین RAT در بالای ماینرهای مخرب کریپتو است. او می افزاید: «چنین دسترسی را می توان به راحتی در وب تاریک به پول تبدیل کرد.

ولگار نزدیک به دو سال فعالیت می کند

در حالی که محقق مشخص نکرد که گواردیکور چه زمانی را برای اولین بار Vollgar را شناسایی کرد، او اظهار داشت که افزایش فعالیت بات نت در دسامبر 2019 باعث شد این شرکت به بررسی دقیق تر بدافزار بپردازد.

هارپاز گفت: «بررسی عمیق این بات‌نت نشان داد که اولین حمله ثبت‌شده به می 2018 بازمی‌گردد که تقریباً دو سال فعالیت را در بر می‌گیرد».

بهترین شیوه های امنیت سایبری

هارپاز برای جلوگیری از عفونت ناشی از Vollgar و سایر حملات ماینینگ کریپتو، از سازمان‌ها می‌خواهد که نقاط کور را در سیستم‌های خود جستجو کنند.

توصیه می‌کنم با جمع‌آوری داده‌های جریان شبکه شروع کنید و دید کاملی از قسمت‌هایی از مرکز داده که در معرض اینترنت هستند، داشته باشید. شما نمی توانید بدون اطلاعات وارد جنگ شوید. نقشه برداری از تمام ترافیک ورودی به مرکز داده، هوشی است که برای مبارزه با کریپتوماینرها به آن نیاز دارید.» 

او می افزاید: «در مرحله بعد، مدافعان باید بررسی کنند که همه ماشین های در دسترس با سیستم عامل های به روز و اعتبارنامه های قوی کار می کنند.

کلاهبرداران فرصت طلب از COVID-19 استفاده می کنند

در هفته های اخیر، محققان امنیت سایبری زنگ را صدا کرد با توجه به گسترش سریع کلاهبرداری هایی که به دنبال افزایش ترس از ویروس کرونا هستند.

هفته گذشته، قانونگذاران شهرستان بریتانیا هشدار داد کلاهبرداران جعل هویت مرکز کنترل و پیشگیری از بیماری‌ها و سازمان بهداشت جهانی را برای هدایت قربانیان به لینک‌های مخرب یا دریافت متقلبانه کمک‌های مالی به‌عنوان بیت‌کوین (BTC) نشان می‌دهند.

در آغاز ماه مارس، یک حمله قفل صفحه تحت عنوان نصب یک نقشه حرارتی برای ردیابی شیوع ویروس کرونا به نام 'CovidLock' شناسایی شد.

منبع: https://cointelegraph.com/news/sophisticated-mining-botnet-identified-after-2-years