Ботнет, который использовали для незаконного майнинга криптовалюты, использовал транзакции Bitcoin (BTC), чтобы оставаться в тени.
Согласно отчету исследователей, эту технику используют операторы по майнингу криптовалюты, в ходе которой блокчейн транзакции использовались для скрытия резервных адресов серверов командования и управления (С2).
Через такие серверы ботнеты получают команды от кибепреступников. Правоохранительные органы и специалисты по безопасности постоянно находят и отключают их.
По словам специалиста, операторы ботнета прячут резервные IP-адреса серверов с помощью блокчейна.
Цепочка атак начинается с эксплойта уязвимости удаленного исполнения кода (RCE), что воздействует на ПО, включая Hadoop Yarn и Elasticsearch.
Чтобы вызвать RCE в уязвимых системах, развертывается скрипт. Помимо этого, развертывается малварь Skidmap. Начальный скрипт может также удалить существующие майнеры, преобразовать SSH-ключ и отключить функции безопасности.
Для поддержания и повторного заражения систем используются домены и статические IP-адреса, которые потом находят и уничтожают специалисты по безопасности. Как сообщает исследователь, операторы этой кампании это ожидали, поэтому создали резервную инфраструктуру.
В декабре специалист заметил, что адреса кошельков BTC добавили в новый вариант криптомайнинговой малвари. Кроме того, были найдены URL-адрес для API проверки кошелька и одиночные строки кода, и похоже, что данные кошелька, извлекаемые API, использовались для вычисления IP-адреса. Таким способом хакерам удалось спрятать данные конфигураций в блокчейне.
По оценкам эксперта, операторам удалось добыть $30,000 в Monero.