Cado实验室的研究人员最近发现黑客WatchDog重新出现。WatchDog是一个机会主义者,他们经常对各种云服务提供商托管的资源进行加密劫持攻击。
WatchDog在2022年6月瞄准了一个蜜罐,与这种类型的攻击一样,脚本一开始使用许多命令,旨在削弱受损的系统并删除监控工具。在删除Linux系统日志之前,黑客使用ulimit命令为当前用户配置资源限制,试图掩盖其踪迹。
在之前关于WatchDog活动的报告中,研究人员发现了一种独特的技术,即黑客用一个相当简单的shell脚本替换了常见的系统实用程序(如top和ps),该脚本用于从上述实用程序的输出中泄露任何攻击者拥有的进程。同样的技术也出现在这个新的有效载荷中。
目前WatchDog仍然活跃,并对腾讯和阿里云等云服务提供商的用户构成重大威胁。在分析过的shell脚本中可以看到这种黑客的几种典型技术,并且重新使用特定的Monero钱包使得归因相对容易。
用于删除TeamTNT可执行文件的代码的存在是一个有趣的观察。证据表明,以云为中心的加密劫持组织保持对当前威胁形势的最新了解,因此这可能表明WatchDog在其活动期间遇到了TeamTNT活动的证据。
前面提到WatchDog和类似的组织是机会主义的,很有可能这个恶意软件利用配置错误的云实例作为初始访问向量。这再次强调了某些云黑客可以轻易地破坏云资源,而且他们几乎不需要付出多少努力就可以使这一努力有利可图。
更多内容请至Seebug Paper 阅读全文:https://paper.seebug.org/2022/
消息来源:cadosecurity,封面来自网络,译者:Shirley。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。