Huawei Cloud atacado por malware actualizado para minería de criptomonedas

Una nueva versión de un malware de minería criptográfica de Linux que se usaba anteriormente para apuntar a contenedores Docker en 2020 ahora se enfoca en nuevos proveedores de servicios en la nube como Huawei Cloud.

El análisis de la nueva campaña proviene de investigadores de TrendMicro, quienes explican cómo el malware ha evolucionado con nuevas características mientras conserva su funcionalidad anterior.

Más específicamente, las muestras más recientes han comentado la función de creación de reglas de firewall (pero todavía está allí) y continúan soltando un escáner de red para asignar otros hosts con puertos relevantes para API.

Sin embargo, la nueva versión de malware solo se dirige a entornos de nube y ahora está buscando y eliminando cualquier otro script de cryptojacking que pueda haber infectado previamente el sistema.

Al infectar un sistema Linux, el minero de monedas malicioso llevará a cabo los siguientes pasos, que incluyen la eliminación de los usuarios que crean los distribuidores de malware de criptominería competidores.


Después de eliminar a los usuarios creados por otros actores de amenazas, los actores agregan sus propios usuarios, un paso común para muchos criptojackers dirigidos a la nube. Sin embargo, a diferencia de muchos otros criptomineros, el malware agrega sus cuentas de usuario a la lista de sudoers, dándoles acceso de root al dispositivo.

Para garantizar que se mantenga la persistencia en el dispositivo, los atacantes utilizan su propia clave ssh-RSA para realizar modificaciones del sistema y cambiar los permisos de archivo a un estado bloqueado.

Esto significa que incluso si otro actor obtiene acceso al dispositivo en el futuro, no podrá tomar el control completo de la máquina vulnerable.

Los actores instalan el servicio de proxy Tor para proteger las comunicaciones de la detección y el escrutinio del escaneo de la red, pasando todas las conexiones a través de él para su anonimato.


Los binarios descartados ("linux64_shell", "ff.sh", "fczyo", "xlinux") presentan cierto nivel de ofuscación, y TrendMicro ha visto señales de que el empaquetador UPX se ha implementado para la envoltura.


Los actores han pasado por una mayor manipulación para ajustar los binarios para el sigilo contra los conjuntos de herramientas de detección y análisis automatizados.

Después de afianzarse en un dispositivo, los scripts del pirata informático explotarán los sistemas remotos y los infectarán con los scripts maliciosos y el criptominer.

Las vulnerabilidades conocidas analizadas durante este ataque incluyen:

- Contraseñas SSH débiles
- Vulnerabilidad en el producto Oracle WebLogic Server de Oracle Fusion Middleware (CVE-2020-14882)
- Redis acceso no autorizado o contraseñas débiles
- Acceso no autorizado a PostgreSQL o contraseña débil
- Contraseña débil de SQLServer
- Acceso no autorizado de MongoDB o contraseña débil
- Contraseña débil del protocolo de transferencia de archivos (FTP)

CSP bajo bombardeo

-Huawei Cloud es un servicio relativamente nuevo, pero el gigante tecnológico chino afirma que ya atiende a más de tres millones de clientes. TrendMicro ha informado a Huawei de la campaña, pero aún no ha recibido un reconocimiento.

Ya sea que implemente sus instancias, tenga en cuenta que ejecutar evaluaciones de vulnerabilidad y escaneos de malware puede no ser suficiente para defenderse de este ataque. Debe evaluar el modelo de seguridad de su CSP y ajustar su enfoque para complementarlo con más protecciones.

Estos mineros criptográficos dirigidos a la nube han ido en aumento desde principios de año, y mientras los valores criptográficos se disparen, los actores tendrán un incentivo para hacerlos más poderosos y más difíciles de detectar .

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta