Dogecoin's pozornie z czasem ewoluowały. Moneta memowa została początkowo stworzona jako żart w 2014 roku, zamieniona w jedną z najgorętszych kryptowalut w 2015 roku, stała się Ulubiony Elon Musk w 2018 roku i był częścią Wyzwanie TikTok w 2020 roku.
Ale dla waluty sprawy przybrały ciemniejszy obrót; hakerzy wykorzystują teraz token do kontrolowania botnetów wydobywających kryptowaluty, powiedziała firma zabezpieczająca Intezer Labs w raport w tym tygodniu.
Taki DOGE, dużo hack
Intezer Labs, nowojorska firma analizująca i wykrywająca złośliwe oprogramowanie, odkryła, że hakerzy używający niesławnego backdoora „Doki” używają portfeli Dogecoin do maskowania swojej obecności w Internecie.
Firma twierdzi, że analizowała Doki, wirusa trojańskiego, od stycznia 2020 roku, ale niedawno odkryła, że później można go wykorzystać do instalowania i utrzymywania złośliwego oprogramowania do kopania kryptowalut.
Niewykryty atak doki aktywnie infekuje podatne osoby #Doker serwery w chmurze. Atakujący wykorzystuje nowatorski algorytm generowania domeny (DGA) oparty na portfelu cyfrowym DogeCoin do generowania domen C&C. Badania przeprowadzone przez @ NicoleFishi19 i @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28 lipca 2020 r.
Firma zauważyła, że haker, którego autorem jest Ngrok, odkrył metodę wykorzystania portfeli Dogecoin do infiltracji serwerów internetowych. Użycie jest pierwszym takim przypadkiem dla monety memowej, która jest znana z bardziej zabawnych celów.
Intezer Labs odkryło, że Doki używał wcześniej nieudokumentowanej metody, aby skontaktować się ze swoim operatorem, nadużywając łańcucha blokowego Dogecoin w unikalny sposób wrder, aby dynamicznie generować adresy domeny kontroli i poleceń (C&C).
Korzystanie z transakcji Dogecoin pozwoliło napastnikom na zmianę tych adresów C&C na wszystkich dotkniętych problemem komputerach lub serwerach, na których działały Ngrok Monero boty wydobywające. Pozwoliło to hakerowi / hakerom na ukrycie swojej lokalizacji online, uniemożliwiając w ten sposób wykrycie przez organy prawne i organy ds.
Intezer Labs wyjaśnił w swoim raporcie:
„Podczas gdy niektóre szczepy złośliwego oprogramowania łączą się z surowymi adresami IP lub zakodowanymi na stałe adresami URL zawartymi w ich kodzie źródłowym, Doki użył dynamicznego algorytmu do określenia adresu sterowania i poleceń (C&C) za pomocą Dogecoin API”.
Firma dodała te kroki, co oznaczało, że firmy ochroniarskie musiały uzyskać dostęp do portfela Dogecoin hakera, aby zdjąć Doki, co było „niemożliwe” bez znajomości kluczy prywatnych portfela.
Używanie DOGE do sterowania serwerami
Korzystanie z Doki umożliwiło Ngrok kontrolowanie ich nowo wdrożonych serwerów Alpine Linux w celu prowadzenia operacji wydobywania kryptowalut. Użyli usługi Doki do określenia i zmiany adresu URL serwera kontroli i poleceń (C&C), którego potrzebował do połączenia w celu uzyskania nowych instrukcji.
Badacze Intezer dokonali inżynierii wstecznej procesu, szczegółowo opisując początkowe kroki, jak pokazano na poniższym obrazku:
Kiedy powyższe zostało w pełni wykonane, gang Ngrok mógł zmienić serwery dowodzenia Doki, dokonując pojedynczej transakcji z kontrolowanego przez siebie portfela Dogecoin.
Jednak to była tylko część większego ataku. Gdy gang Ngrok uzyskał dostęp do serwerów dowodzenia, wdrożył kolejny botnet, aby wydobywać Monero. Dogecoin i Doki służyły tylko jako pomost dostępu, jak ZDNet badacz Catalin Cimpanu napisał na Twitterze:
W każdym razie Doki, korzystając z unikalnego C&C DGA, jest w rzeczywistości częścią większego łańcucha ataków - a mianowicie ekipy wydobywającej kryptowaluty Ngrok.
Ci hakerzy atakują źle skonfigurowane interfejsy API Dockera, których używają do wdrażania nowych obrazów Alpine Linux w celu wydobywania Monero (Doki jest częścią dostępową tutaj) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 lipca 2020 r.
Intezer powiedział, że Doki jest aktywny od stycznia tego roku, ale pozostał niewykryty we wszystkich 60 programach skanujących „VirusTotal” używanych na serwerach Linux.
Na dzień dzisiejszy atak jest nadal aktywny. Operatorzy złośliwego oprogramowania i „gangi wydobywające kryptowaluty” aktywnie używają tej metody, powiedział Intezer.
Ale to nie jest duże zmartwienie. Firma twierdzi, że zapobieganie ekspozycji na wirusa jest łatwe; należy tylko upewnić się, że wszystkie krytyczne interfejsy procesów aplikacji (API) są w pełni offline i nie są połączone z żadną aplikacją, która współdziała z Internetem.
Podobnie jak to, co widzisz? Subskrybuj codzienne aktualizacje.
Źródło: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/