Злоумышленники всё чаще нацеливаются на Linux в мультиоблачных средах

 

Компания VMware опубликовала отчёт «2022 VMware Threat Report — Exposing Malware in Linux-based Multi-Cloud Environments» подразделения по анализу угроз Threat Analysis Unit (TAU), в котором подробно описывается использование злоумышленниками вредоносного ПО для атак на ОС на базе Linux, ставшей самой распространённой облачной платформой.

Согласно отчёту, в настоящее время все усилия в основном направлены на борьбу с угрозами на для платформ на базе Windows, в результате чего многие публичные и частные облачные среды остаются уязвимыми для атак.

Джованни Винья (Giovanni Vigna), старший директор по анализу угроз VMware отметил, что злоумышленники активно добавляют вредоносные программы, нацеленные на Linux-системы, рассматривая публичные и частные облака как важные цели, поскольку они предоставляют доступ к критически важным службам инфраструктуры и конфиденциальным данным.

 Источник изображения: VMWare

Источник изображения: VMWare

Первоначальный доступ часто осуществляется с помощью кражи учетных данных. Хотя удаленное выполнение кода является вторым по популярности способом взлома таких систем (например, использование Log4j), украденные учётные данные часто дают злоумышленникам больше времени для изучения сети жертвы, говорит Джованни.

При составлении отчёта команда TAU проанализировала самые серьёзные угрозы для ОС Linux в мультиоблачных средах — программы-вымогатели, криптомайнеры и инструменты удалённого доступа. По словам VMware, атаки программ-вымогателей в облачных средах могут быть весьма разрушительными, особенно в сочетании с методами двойного, или уже появившегося тройного вымогательства.

В отчёте приводятся примеры новых разработок программ-вымогателей на базе Linux, которые теперь могут нацеливаться на образы хостов, используемые для развёртывания рабочих нагрузок в виртуализированных средах. Примеры таких программ включают семейство программ-вымогателей DarkSide и Defray777, который шифрует образы хостов на серверах ESXi. VMware назвала это явным признаком того, что злоумышленники поняли, что им нужно атаковать более ценные активы в облачной среде, чтобы нанести максимальный ущерб жертве.

 Источник изображения: VMWare

Криптомайнинг считается несколько менее серьёзной угрозой для облачных сред, чем программы-вымогатели, так как не полностью разрушает облачные среды, и поэтому его труднее обнаружить. В этом случае злоумышленники либо включают функцию кражи криптовалюты во вредоносное ПО, либо попросту задействуют украденные CPU-ресурсы для майнинга криптовалют, в основном Monero (XMR).

VMware отметила, что 89 % криптомайнеров использует библиотеки ПО для майнига XMRig. И если такие библиотеки или модули обнаруживаются в системе, это можно рассматривать как свидетельство того, что среда была взломана. Злоумышленники также начинают использовать более сложные инструменты для управления своими атаками на инфраструктуру Linux. В частности, злоумышленники используют Vermilion Strike, переработанную версию Cobalt Strike, нацеленную на Linux.

VMware сообщила, что в период с февраля 2020 г. по ноябрь 2021 г. она обнаружила в интернете более 14 000 активных командных серверов Cobalt Strike, при этом общий процент взломанных и утекших идентификаторов клиентов Cobalt Strike составляет 56 %. То есть они применяют пиратские копии, используемые преступниками или «экономными» компаниями, не купившими лицензии.

Если вы заметили ошибку — выделите ее мышью и нажмите CTRL+ENTER. | Можете написать лучше? Мы всегда рады новым авторам.

Источник:

Постоянный URL: https://servernews.ru/1060156

Комментарии

Система Orphus