Dogecoin-х Случаи использования, казалось бы, со временем эволюционировали. Мем-монета была изначально создана как шутка в 2014 году, превратилась в одну из самых горячих криптовалют в 2015 году, стала Элон Маск любимый в 2018 году, и был частью TikTok вызов в 2020 году.
Но вещи приняли более темный оборот для валюты; В настоящее время хакеры используют токен для управления ботнетами крипто-майнинга. отчету на этой неделе.
Такая СОБАКА, много взломать
Intezer Labs, нью-йоркская компания, занимающаяся анализом и обнаружением вредоносных программ, обнаружила, что хакеры, использующие печально известный «Doki» бэкдор, используют кошельки Dogecoin для маскировки своего присутствия в Интернете.
Фирма заявила, что анализирует троянский вирус Doki с января 2020 года, но недавно обнаружила, что его используют для установки и поддержки криптографического вредоносного ПО.
Необнаруженная атака Доки активно заражает уязвимых # Докер серверы в облаке. Злоумышленник использует новый алгоритм генерации доменов (DGA) на основе цифрового кошелька DogeCoin для генерации доменов C&C. Исследования @ NicoleFishi19 и @каджилот https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) Июль 28, 2020
Фирма отметила, что хакер, который использует Ngrok, обнаружил способ использования кошельков Dogecoin для проникновения на веб-серверы. Использование - первый такой случай для мемовой монеты, которая иначе известна в более забавных целях.
Intezer Labs обнаружила, что Doki использует ранее недокументированный метод для связи с оператором, злоупотребляя блокчейном Dogecoin уникальным способомrder для динамической генерации адресов своего управляющего и командного (C&C) домена.
Использование транзакций Dogecoin позволяло злоумышленникам изменять эти адреса C&C на любых затронутых компьютерах или серверах, на которых выполнялся сервер Ngrok. Monero майнинг ботов. Это позволило хакерам замаскировать свое онлайн-местоположение, тем самым предотвратив обнаружение законными и киберпреступными органами.
В отчете Intezer Labs пояснили:
«В то время как некоторые штаммы вредоносных программ подключаются к необработанным IP-адресам или жестко запрограммированным URL-адресам, включенным в их исходный код, Doki использовала динамический алгоритм для определения управляющего и командного адреса (C&C) с помощью Dogecoin API».
Фирма добавила, что эти шаги означали, что охранные фирмы должны были получить доступ к кошельку Dogecoin хакера, чтобы уничтожить Doki, что было «невозможно», не зная секретных ключей кошелька.
Использование DOGE для управления серверами
Использование Doki позволило Ngrok контролировать свои недавно развернутые серверы Alpine Linux для выполнения операций по майнингу криптовалют. Они использовали службу Doki для определения и изменения URL-адреса управляющего и командного (C&C) сервера, необходимого для подключения для получения новых инструкций.
Исследователи Intezer заново разработали процесс, подробно описав начальные этапы, как показано на рисунке ниже:
Когда все вышеперечисленное было полностью выполнено, банда Нгрок могла изменить командные серверы Doki, совершив одну транзакцию из кошелька Dogecoin, которым они управляли.
Тем не менее, это была лишь часть более масштабной атаки. Как только бригада Нгрок получила доступ к командным серверам, они развернули еще одну бот-сеть для майнинга Monero. Dogecoin и Doki служили только мостом доступа, так как ZDNet Исследователь Каталин Чимпану написал в Твиттере:
В любом случае, Доки, используя уникальный C&C DGA, на самом деле является частью более крупной цепочки атак, а именно команды крипто-майнинга Ngrok.
Эти хакеры нацелены на неправильно настроенные API-интерфейсы Docker, которые они используют для развертывания новых образов Alpine Linux на моем Monero (Doki - часть доступа здесь) pic.twitter.com/xh20MqS9od
- Каталин Чимпану (@campuscodi) Июль 28, 2020
Интезер сказал, что Doki активен с января этого года, но остался незамеченным во всех 60 программах сканирования «VirusTotal», используемых на серверах Linux.
На сегодняшний день атака все еще активна на сегодняшний день. По словам Интезера, операторы вредоносных программ и «банды крипто-майнинга» активно используют этот метод.
Но это не большое беспокойство. Фирма говорит, что предотвратить воздействие вируса легко; нужно просто убедиться, что все критически важные интерфейсы процессов приложений (API) полностью автономны и не подключены к каким-либо приложениям, взаимодействующим с Интернетом.
