Hacker kombinieren Cryptominer XMRig mit 9 Hits Viewer für mehr Profit

Es tut mir leid für das Missverständnis. Hier ist eine Zusammenfassung der Situation mit Docker-Hosts, die von XMRig und 9hits Viewer Malware betroffen sind, auf Deutsch:

Kürzlich wurde eine Malware-Kampagne entdeckt, die Docker-Hosts angreift. Dabei werden zwei Arten von Malware eingesetzt: der XMRig-Miner und die 9hits Viewer-Anwendung. Dies ermöglicht es Angreifern, gleichzeitig durch Kryptowährungs-Mining und die Generierung von falschem Website-Traffic zu profitieren.

Die 9hits Viewer-Anwendung ist Teil einer Web-Traffic-Austauschplattform, bei der Mitglieder durch das Besuchen anderer Websites Credits verdienen können. Die Malware nutzt die Ressourcen der kompromittierten Docker-Hosts, um für die Angreifer Credits auf der 9hits-Plattform zu generieren.

Der XMRig-Miner wird verwendet, um die Kryptowährung Monero zu schürfen, wobei die Rechenressourcen der infizierten Docker-Hosts genutzt werden. Der Miner verbindet sich mit einem privaten Mining-Pool, was es schwierig macht, die Größe und den Profit der Kampagne zu ermitteln.

Angreifer nutzen wahrscheinlich Netzwerk-Scanning-Tools wie Shodan, um anfällige Docker-Server zu identifizieren. Nachdem sie in diese Server eingedrungen sind, setzen sie über die Docker-API bösartige Container ein. Diese Container laden Standardbilder von Dockerhub herunter, einschließlich derer für die 9hits- und XMRig-Software, um unauffällig zu bleiben.

Der 9hits-Container führt ein Skript mit einem Sitzungstoken aus, das es ihm ermöglicht, sich zu authentifizieren und Credits für den Angreifer zu generieren. Die Angreifer haben die 9hits-App so konfiguriert, dass sie verschiedene Arten von Websites besucht, jedoch den Besuch von kryptowährungsbezogenen Seiten verhindert.

Der primäre Effekt dieser Kampagne auf kompromittierte Hosts ist eine erhebliche Ressourcenerschöpfung. Der XMRig-Miner verwendet intensiv alle verfügbaren CPU-Ressourcen, während die 9hits-Anwendung eine große Menge an Bandbreite und Speicher verbraucht, sodass für legitime Serverarbeiten kaum noch Ressourcen übrig bleiben. Dies führt zu einer deutlichen Leistungsminderung für legitime Dienste auf diesen infizierten Servern.

Es wird empfohlen, dass Einrichtungen, die Cloud-Computing-Umgebungen verwenden, robuste Sicherheitsmaßnahmen anwenden, einschließlich Zero-Trust-Modellen, Cloud Workload Protection Platforms (CWPP) und Cloud Security Posture Management (CSPM). Diese Tools können die Sichtbarkeit verbessern, Konfigurationen verwalten und exponierte Assets schützen, um das Risiko solcher Angriffe zu mindern.

Für detailliertere Informationen können Sie die folgenden Quellen besuchen:

Tags :

Related Posts

Das Bigpanzi Botnetz hat schon 170.000 Smart-TVs infiziert

Das aus Brasilien kommende Bigpanzi-Botnetz infiziert Geräte, indem es Android-basierte Smart-TVs und andere Streaming-Hardware über gefälschte Apps und Firmware-Updates befällt. Mittlerweile sollen über 170.000 Geräte von der Infektion betroffen sein. Ein typisches Infektionsszenario beginnt damit, dass Benutzer auf verdächtigen Streaming-Webseiten surfen und dort zum Herunterladen einer schädlichen App für ihren Smart-TV verleitet werden. Nach der Installation dieser App wird das Gerät heimlich kompromittiert und für verschiedene Cyberkriminalitätsaktivitäten missbraucht. Eine Infektion ist alternativ auch über ein bösartiges Android Firmware Update aus unsicheren Quellen oder über illegal erworbene Filme möglich.

Read More

Hacker Methoden: Remote Code Execution

Remote Code Execution (RCE) ist eine Art von Sicherheitslücke, die es einem Angreifer ermöglicht, Code auf einem Zielrechner oder -server aus der Ferne auszuführen. Diese Art von Angriff kann besonders schwerwiegend sein, da sie einem Angreifer potenziell vollständige Kontrolle über das betroffene System gibt. RCE-Schwachstellen können in verschiedenen Softwarekomponenten, einschließlich Betriebssystemen, Webanwendungen und Netzwerkgeräten, auftreten.

Read More

Spica-Backdoor-Malware

Die Spica-Backdoor-Malware, die von der russischen Hackergruppe ColdRiver eingesetzt wird, tarnt sich als PDF-Entschlüsselungstool. Sie wurde erstmals im November 2022 beobachtet. Diese Malware ermöglicht es Angreifern, über WebSockets und JSON Befehle zu senden und verschiedene schädliche Aktionen durchzuführen, darunter das Ausführen von Shell-Befehlen, das Stehlen von Browser-Cookies, das Hoch- und Herunterladen von Dateien sowie das Exfiltrieren von Dokumenten. Google hat alle Domains und Dateien, die in diesen Angriffen verwendet wurden, zu seinem Safe Browsing-Phishing-Schutz hinzugefügt und betroffene Gmail- und Workspace-Nutzer benachrichtigt.

Read More