של כלבים המקרים התפתחו לכאורה לאורך זמן. מטבע המם נוצר בתחילה כבדיחה בשנת 2014, הפך לאחד הקריפטו-מטבעות החמים ביותר בשנת 2015, הפך להיות החביב על אלון מאסק בשנת 2018, והיה חלק מ- אתגר TikTok ב 2020.
אך הדברים קיבלו תפנית חשוכה יותר עבור המטבע; האקרים מנצלים כעת את האסימון כדי לשלוט בבוטנות לכריית קריפטו, כך מסר חברת האבטחה Intezer Labs לדווח השבוע.
DOGE כזה, הרבה גרזן
מעבדות Intezer, חברת ניתוח וגילוי תוכנות זדוניות בניו יורק, גילו כי האקרים המשתמשים בדלת האחורית הידועה לשמצה "Doki" השתמשו בארנקים של Dogecoin כדי להסוות את נוכחותם המקוונת.
מהמשרד נמסר כי הוא ניתח את דוקי, וירוס טרויאני, מאז ינואר 2020, אך לאחרונה גילה את השימוש בו בהתקנה ותחזוקה של תוכנות זדוניות לכריית crypto לאחר מכן.
התקפה של דוקי לא מזוהה הדבקה באופן פעיל בפגיעים # דוקר שרתים בענן. התוקף משתמש באלגוריתם של Domain Generation Generation (DGA) המבוסס על ארנק דיגיטלי של DogeCoin כדי לייצר תחומי C&C. מחקר מאת @ NicoleFishi19 ו @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28 ביולי 2020
ההאקר - שעובר ליד נגרוק - חשף שיטה להשתמש בארנקים של Dogecoin לצורך חדירת שרתי אינטרנט, ציין המשרד. השימוש הוא מקרה כזה ראשון למטבע הזכר, הידוע אחרת למטרות מהנות יותר.
במעבדות Inzerzer התברר כי דוקי השתמש בשיטה שלא הייתה מתועדת בעבר כדי ליצור קשר עם המפעילה שלה על ידי שימוש לרעה ב- Blockchain Dogecoin באופן ייחודיrder כדי ליצור באופן דינמי את כתובות הדומיין שליטה ופיקוד (C&C).
השימוש בעסקאות Dogecoin אפשר לתוקפים לשנות את כתובות ה- C&C הללו בכל המחשבים, או השרתים המושפעים, שניהלו את Ngrok's. מונרו כריית בוטים. פעולה זו אפשרה להאקר / ים להסוות את מיקומם המקוון, ובכך למנוע גילוי על ידי רשויות חוקיות ופליליות ברשת.
מעבדות Inzerzer הסבירו בדו"ח שלה:
"בעוד שכמה זנים של תוכנות זדוניות מתחברים לכתובות IP גולמיות או לכתובות URL מקודדות כלולות בקוד המקור שלהן, דוקי השתמש באלגוריתם דינמי כדי לקבוע את כתובת השליטה והפקודה (C&C) באמצעות ה- Dogecoin API."
המשרד הוסיף כי צעדים אלה פירושם שחברות אבטחה נדרשות לגשת לארנק הדוג'ין של ההאקר כדי להוריד את דוקי, שהיה "בלתי אפשרי" מבלי לדעת את המפתחות הפרטיים של הארנק.
באמצעות DOGE לשליטה בשרתים
השימוש ב- Doki אפשר ל- Ngrok לשלוט בשרתי Alpine Linux החדשים שלהם להפעלת פעולות כריית הצפנה שלהם. הם השתמשו בשירות Doki כדי לקבוע ולשנות את כתובת ה- URL של שרת הבקרה והפקודה (C&C) שהוא נדרש כדי להתחבר לקבלת הוראות חדשות.
חוקרי האינתרזר הנדסו את התהליך הפוך, ופירטו את הצעדים הראשונים כמוצג בתמונה למטה:
כאשר האמור לעיל בוצע במלואו, כנופיית נגרוק יכלה לשנות את שרתי הפיקוד של דוקי על ידי ביצוע עסקה יחידה מתוך ארנק Dogecoin בו שלטו.
עם זאת, זה היה רק חלק מהתקפה גדולה יותר. ברגע שכנופיית נגרוק קיבלה גישה לשרתי הפקודה, הם פרסו בוטנט נוסף כדי לכרות את מונרו. דוגקויין ודוקי שימשו רק כגשר גישה, כמו ZDNet החוקרת קטלין Cimpanu צייצה:
בכל מקרה, דוקי, בעודו משתמש ב- C&C DGA ייחודי, הוא למעשה חלק משרשרת תקיפה גדולה יותר - כלומר צוות הכרייה הצפוני של Ngrok.
האקרים אלה מתמקדים בממשקי API של Docker המוגדרים באופן שגוי, בהם הם משתמשים כדי לפרוס תמונות לינוקס אלפיניות חדשות כדי לכרות את מונרו (Doki הוא חלק הגישה כאן) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 ביולי 2020
אינטרזר אמר כי דוקי היה פעיל מאז חודש ינואר האחרון, אך הוא לא התגלה בכל 60 תוכנות הסריקה "VirusTotal" המשמשות בשרתי לינוקס.
נכון להיום הפיגוע עדיין פעיל נכון להיום. אינטרטר אמר כי מפעילי תוכנה זדונית ו"כנופיות כריית crypto "השתמשו בשיטה באופן פעיל.
אבל זה לא דאגה גדולה. במשרד אומרים שמניעת חשיפה לנגיף היא קלה; צריך רק להבטיח שכל ממשקי תהליכי יישום קריטיים (API) אינם במצב לא מקוון ואינם קשורים לאף יישום הקיים אינטראקציה עם האינטרנט.
כמו מה שאתה רואה? הירשמו לעדכונים יומיים.
מקור: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/