Des instances Windows Server sur AWS piratées pour extraire de la crypto-monnaie
La cyber-sécurité les chercheurs de Splunk ont partagé des détails sur ce qu’ils pensent être une réémergence d’un crypto-monnaie botnet qui s’en prend spécifiquement Serveur Windows fonctionnant sur Amazon Cloud computing plate-forme, Amazon Web Services (AWS).
Sur la base de leur analyse détaillée, l’équipe de recherche sur les menaces de Splunk (STRT) affirme que la campagne contre l’espace d’adressage IP d’AWS semble provenir d’adresses IP chinoises et iraniennes.
« Les acteurs malveillants derrière ce botnet ciblent spécifiquement les systèmes d’exploitation Windows Server avec Protocole de bureau à distance, » lit L’avis de Splunk.
Nous examinons comment nos lecteurs utilisent les VPN avec des sites de streaming comme Netflix afin que nous puissions améliorer notre contenu et offrir de meilleurs conseils. Cette enquête ne prendra pas plus de 60 secondes de votre temps, et nous apprécierions énormément que vous partagiez vos expériences avec nous.
>> Cliquez ici pour lancer le sondage dans une nouvelle fenêtre <<
Après avoir ciblé les cibles, les attaquants se frayent un chemin brutalement dans les machines virtuelles (MV) et procédez à l’installation cryptominage outils à exploiter pour la crypto-monnaie Monero.
Infrastructure C2 alimentée par télégramme
Fait intéressant, le STRT partage que toutes les machines virtuelles compromises avaient le binaire exécutable pour le Télégramme Client de bureau. Les chercheurs pensent que les attaquants ont utilisé cela pour aider à lier les machines virtuelles compromises à leur botnet.
Les acteurs de la menace abusent de l’API Telegram de la version de bureau de l’application, pour exécuter des commandes sur les hôtes compromis et les transformer en robots, qui peuvent ensuite être créés pour télécharger automatiquement des outils et des charges utiles supplémentaires.
Selon STRT, le portefeuille crypto dans lequel le Monero extrait est transféré a également été utilisé lors de campagnes précédentes remontant à 2018.
Notant les autres similitudes entre l’attaque actuelle et les campagnes précédentes, y compris l’utilisation de techniques d’exploitation similaires, STRT pense que la campagne actuelle est menée par les mêmes acteurs menaçants qui étaient à l’origine des campagnes précédentes.
Étant donné que les attaques ne semblent pas exploiter une vulnérabilité logicielle et se frayent un chemin par force brute dans les hôtes, les chercheurs suggèrent aux administrateurs de revoir leurs mots de passe.
« Comme nous l’avons vu lors de nos recherches, le meilleur moyen d’empêcher ces vecteurs d’attaque est d’abord de corriger vos serveurs Windows et d’appliquer les dernières mises à jour de sécurité. L’utilisation de mots de passe faibles est également un facteur important dans la compromission de vos serveurs », suggère STRT, ajoutant que l’utilisation de Authentification au niveau du réseau (NLA) aidera également à contrecarrer les attaques par force brute.