Dogecoin's Здавалося б, випадки використання з часом еволюціонували. Монета мем спочатку була створена як жарт у 2014 році, перетворилася на одну з найпопулярніших криптовалют у 2015 році, стала Улюбленець Ілона Маска у 2018 році та була частиною a Виклик TikTok В 2020.
Але ситуація з валютою набула більш темний оборот; Зараз хакери використовують токен для контролю ботнетів для майнінгу криптовалют, повідомила в агентстві безпеки Intezer Labs. звітом на цьому тижні.
Такий DOGE, багато хак
Intezer Labs, нью-йоркська фірма з аналізу та виявлення шкідливих програм, виявила, що хакери, які використовують сумнозвісний бекдор «Doki», використовували гаманці Dogecoin, щоб маскувати свою присутність в Інтернеті.
Фірма заявила, що аналізувала Doki, троянський вірус, з січня 2020 року, але нещодавно виявила його використання для встановлення та підтримки шкідливих програм для майнінгу криптовалют.
Невиявлена атака Doki активно заражає вразливих #Докер сервери в хмарі. Зловмисник використовує новий алгоритм генерації домену (DGA) на основі цифрового гаманця DogeCoin для створення доменів C&C. Дослідження за @NicoleFishi19 та @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) Липень 28, 2020
Хакер, який називається Ngrok, виявив спосіб використання гаманців Dogecoin для проникнення на веб-сервери, зазначила компанія. Використання є першим подібним випадком для монети мемів, яка інакше відома для смішних цілей.
Intezer Labs виявила, що Doki використовував раніше незадокументований метод для зв’язку зі своїм оператором, зловживаючи блокчейном Dogecoin унікальним способомщоб динамічно генерувати свої адреси домену керування та команди (C&C).
Використання транзакцій Dogecoin дозволило зловмисникам змінити ці C&C адреси на будь-яких уражених комп’ютерах або серверах, на яких працював Ngrok's Monero боти для майнінгу. Це дозволило хакерам замаскувати своє місцезнаходження в Інтернеті, таким чином запобігаючи виявлення юридичними та кіберзлочинними органами.
Intezer Labs пояснила у своєму звіті:
«Хоча деякі види шкідливих програм підключаються до необроблених IP-адрес або жорстко закодованих URL-адрес, включених у їхній вихідний код, Doki використовував динамічний алгоритм для визначення адреси керування та команди (C&C) за допомогою Dogecoin API».
Фірма додала, що ці кроки означають, що охоронні фірми повинні отримати доступ до гаманця Dogecoin хакера, щоб знищити Doki, що було «неможливо», не знаючи приватних ключів гаманця.
Використання DOGE для керування серверами
Використання Doki дозволило Ngrok контролювати свої нещодавно розгорнуті сервери Alpine Linux для виконання операцій з майнінгу криптовалют. Вони скористалися службою Doki, щоб визначити та змінити URL-адресу сервера керування та команд (C&C), необхідного для підключення для отримання нових інструкцій.
Дослідники Intezer здійснили зворотну інженерію процесу, детально описуючи початкові кроки, як показано на зображенні нижче:
Коли вищезазначене було повністю виконано, банда Нгроків могла змінити командні сервери Докі, зробивши одну транзакцію з контрольованого ними гаманця Dogecoin.
Однак це була лише частина більшої атаки. Після того, як банда Нгроків отримала доступ до командних серверів, вони розгорнули ще один ботнет для майнінгу Monero. Dogecoin і Doki служили лише мостом доступу, як ZDNet Дослідник Каталін Чимпану написав у Twitter:
У будь-якому випадку, Докі, використовуючи унікальний C&C DGA, насправді є частиною більшого ланцюга атаки, а саме команди Ngrok для майнінгу криптовалют.
Ці хакери націлені на неправильно налаштовані API Docker, які вони використовують для розгортання нових образів Alpine Linux для добування Monero (Doki є частиною доступу тут) pic.twitter.com/xh20MqS9od
- Каталін Сімпану (@campuscodi) Липень 28, 2020
Intezer сказав, що Doki був активним із січня цього року, але залишився непоміченим на всіх 60 програмах для сканування «VirusTotal», які використовуються на серверах Linux.
На сьогоднішній день атака все ще активна. Оператори шкідливих програм і «банди з майнінгу криптовалют» активно використовують цей метод, сказав Intezer.
Але це не велике занепокоєння. Фірма каже, що запобігти впливу вірусу легко; потрібно лише переконатися, що будь-які важливі інтерфейси процесу програми (API) повністю автономні та не підключені до жодної програми, яка взаємодіє з Інтернетом.
