کارشناسان امنیتی پالوآلتو بدافزار جدیدی را به نام گرَبوید (Graboid) شناسایی کردهاند که ارز مونرو (Monero) استخراج میکند.
منبع : سایبربان
کارشناسان امنیتی پالوآلتو بدافزار جدیدی را به نام گرَبوید (Graboid) شناسایی کردهاند که ارز مونرو (Monero) استخراج میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بهتازگی کارشناسان شرکت امنیتی Palo alto Networks بدافزار جدیدی به نام گرَبوید (Graboid) شناسایی کردهاند که اقدام به استخراج ارز دیجیتال مونرو (Monero) کرده و برای توزیع از کانتینرهای موتور اصلی داکر (Docker Engine) استفادهمیکند. شرکت Palo alto Networks، یک شرکت امنیت سایبری چندملیتی است که محصولات اصلی آن یک پلتفرم شامل فایروالهای پیشرفته و پیشنهادهای مبتنیبر Cloud است.
کارشناسان این شرکت از طریق موتور جستوجوی شودان (Shodan) بیش از ۲۰۰۰ بسته نصب ناامن، موتور اصلی داکر را شناسایی کردند که در دسترس همه کاربران و آلوده به بدافزار گربوید بودهاند. این بدافزار برخی مواقع فهرستی از هاستهای آسیبپذیر و بیش از ۲۰۰۰ آدرس آیپی را از سرور کنترل و فرمان بارگیری میکند که نشان میدهد مجرمان اهداف احتمالی خود را شناسایی کرده و بهصورت تصادفی یکی را گزینش میکنند.
مهاجم پس از نفوذ به سیستم موردنظر، کنترل از راه دور انجام داده و فرمان بارگیری تصویر pocosow/centos را از داکرهاب (Docker Hub) میدهد. این تصویر دارای کلاینت داکر بوده و برای برقراری ارتباط با سایر میزبانهای داکر مورد استفاده قرار میگیرد. عملیات استخراج با کانتینر مجزای gakeaws/nginx انجام میگیرد که بهعنوان وبسرور متنباز nginx عمل میکند. کانتینر pocosow/centos جهت بارگیری چهار اسکریپت از سرور کنترل و اجرای آنها نیز مورد استفاده قرار میگیرد.
کرم گربوید از پانزده میزبان آسیبدیده دستوراتی دریافت میکند که چهارده مورد آنها جزء فهرست آدرسهای آسیبپذیر IP هستند و یکی از آنها نیز بیش از ۵۰ آسیبپذیری شناختهشده دارد. اپراتور بدافزار بهمنظور هدایت و کنترل آن، این میزبانها را آلوده میکند.
کارشناسان معتقدند این ماینر در انتخاب هدف، نامنظم عمل کرده و حتی زمانی که در هاستهای آلوده نصب میشود بلافاصله عمل نمیکند که میتواند ناشی از توسعه نامطلوب و یا در راستای عدم شناسایی این بدافزار باشد.