Ботнет Arcbot атакует инфраструктуру китайских провайдеров облачного хостинга, предупредили исследователи из компании Cado Security. Предположительно, основной целью малвари является майнинг криптовалюты.
Abcbot атакует серверы таких компаний, как Alibaba Cloud, Baidu, Tencemt и Huawei Cloud, говорят эксперты, тем самым подтверждая выводы своих коллег из Trend Micro и Qihoo 360 NetLab.
«У меня есть теория, что более молодые провайдеры облачных услуг, такие как Huawei Cloud, Tencent и Baidu, не так развиты, как AWS, где есть автоматические оповещения на случай, когда развертывание осуществляется небезопасным образом, — рассказал изданию The Record Мэтт Мьюир из Cado Security. — Облако Alibaba определенно существует дольше, поэтому службы безопасности компании тоже выглядят более зрелыми. Примечательно, что компания Trend Micro обнаружила малварь, нацеленную на Huawei Cloud, а новые образцы, которые проанализировали мы, уже нацелены и на других китайских поставщиков облачных услуг».
Атаки Abcbot, как правило, нацелены на серверы Linux, которые защищены слабыми паролями или работают с незащищенными приложениями. Как только точка входа найдена, Abcbot развертывает скрипт Linux bash, который отключает защиту SELinux, создает бэкдор для для операторов малвари, а затем сканирует зараженные системы на наличие другой малвари.
Обнаружив конкурирующее вредоносное ПО, Abcbot ликвидирует его процессы, а также любые другие процессы, которые могут быть связаны с майнингом криптовалюты. Затем Abcbot совершает еще одно действие, нехарактерное для других ботнетов: удаляет ключи SSH, оставляя только свои собственные, чтобы гарантировать, что его операторы — единственные, кто сможет подключиться к серверу.
Мьюир говорит, что подобное поведение предполагает, что другие хак-группы тоже используют аналогичную технику, которую разработчики Abcbot подхватили и решили помешать конкурентам. Впрочем, возможно, что хакеры также просто удаляют свои собственные ключи от предыдущих кампаний.
Интересно, что образцы Abcbot, изученные Cado Security, могли лишь заражать новые системы, делая их частью ботнета. При этом старые образцы, проанализированные Trend Micro, имели модули для добычи криптовалюты, а образцы, изученные Qihoo 360 NetLab, могли использоваться для организации DDoS-атак. Однако с учетом того, что вредонос уничтожает на зараженных машинах любых процессы, связанные с майнингом, эксперты считают, что его конечная цель — это все же добыча криптовалюты.