Исследователи из Anomali описали алгоритм работы нового зловреда, обнаруженного в рамках изучения двух криптоджекинг-кампаний, нацеленных на устройства под управлением Linux. Штаммы Linux Rabbit и Rabbot, основанные на одном и том же коде, с августа по октябрь 2018 года атаковали компьютеры и IoT-устройства, внедряя на них программы для добычи криптовалюты Monero.

Два варианта вредоносной программы использовали одинаковые алгоритмы, но отличались целями и способами распространения.

Linux Rabbit, чья активность была зафиксирована в августе этого года, атаковал только серверы в США, России, Великобритании и Южной Корее. Кампания Rabbot продолжалась с сентября по октябрь и добавила в список целей устройства Интернета вещей. Второй штамм обладал функциями сетевого червя и эксплуатировал ряд известных брешей для проникновения в уязвимую систему.

Попав на инфицированный компьютер, Linux Rabbit связывался с командным сервером через Tor-шлюз и запрашивал полезную нагрузку, которая отличалась в зависимости от процессора атакуемой системы. На устройства, основанные на архитектуре x86, зловред устанавливал майнер CNRig, в случае использования чипсета ARM/MISP — Coinhive.

Для внедрения приложений на инфицированный компьютер Linux Rabbit взламывал его SSH-шлюз через брутфорс. Прежде чем подобрать пароль к системе, зловред проверял его местоположение и прекращал свою работу, если хост не принадлежал одной из четырех целевых стран. Кроме того, программа выполняла проверку на запуск в песочнице, а также прописывалась в файле автозагрузки rc.local и добавляла себя в список сценариев .bashrc.

Если зараженная машина оказывалась веб-сервером, зловред также внедрялся на все страницы ресурса, пытаясь установить майнер на устройства посетителей. Как выяснили исследователи, Linux Rabbit мог получать апдейты из центра управления, а также обладал системой самоуничтожения.

В отличие от первого варианта зловреда, Rabbot использовал для доставки полезной нагрузки незащищенные TCP-порты и не проверял местоположение устройства. Программа эксплуатировала уязвимости в роутерах Zyxel, баги коммуникационного оборудования Dell, а также бреши операционной системы Red Hat, чтобы проникнуть в целевую систему. Кроме того, злоумышленники атаковали системы видеонаблюдения NUUO через эксплойт Peekaboo, который позволяет нападающим получить полный контроль над IP-камерами.