Злоумышленники внедряют на скомпрометированные серверы криптомайнер Antd.
Киберпреступная группировка Pacha Group, предположительно действующая из Китая, активно компрометируют Linux-серверы с целью внедрения вредоносного ПО для добычи криптовалюты. По данным экспертов Intezer, злоумышленники атакуют серверы не напрямую, а через приложения WordPress или PhpMyAdmin. Получив доступ к серверу, они внедряют вредонос Linux.GreedyAntd (Antd).
Первые атаки были зафиксированы в сентябре 2018 года. По словам исследователей, исходный код вредоноса, используемого в кампании, имеет схожие черты с другой вредоносной программой - Linux.HelloBot. Предположительно, группировка Pacha Group параллельно тестируют два вида вредоносного ПО, но в своих операциях чаще использует Antd.
Вредонос представляет собой модифицированную версию майнера XMRig, использующую прокси для сокрытия настроек и адресов криптовалютных кошельков.
Antd имеет модульную структуру и может работать с несколькими управляющими серверами. Наличие широкой инфраструктуры с большим числом взаимосвязанных компонентов позволяет сохранить функциональность вредоноса в случае отключения каких-либо C&C-серверов. Кроме того, для устранения Antd с инфицированной системы потребуются значительные усилия, поскольку его поведение отличается от другого вредоносного ПО под Linux. К примеру, для сохранения присутствия на атакуемой системе вместо использования планировщика задач cronjob Antd добавляет службу Systemd, имитирующую официальный сервис mandb. Бэкдор Antd довольно сложно обнаружить, если не знать, что искать, отмечают исследователи.