Logiciel malveillant Xanthe

La croissance des environnements et des services cloud a considérablement changé le paysage technologique de multiples façons. L'un des aspects à ne pas négliger est la sécurité. Alors que pendant une période considérable, les systèmes de bureau Windows ont été les principales cibles des cybercriminels, et ils le sont toujours, un changement important s'est également produit. En effet, de plus en plus d'hôtes installés sur Internet utilisent Linux et sont une proie beaucoup plus facile en raison des efforts supplémentaires dont ils ont besoin lors de la mise en place de leurs mesures de sécurité par rapport aux systèmes Windows internes. Jusqu'à présent, en 2020, les chercheurs d'Infosec ont observé plusieurs campagnes ciblant précisément de tels systèmes, l'une des dernières étant le Xanthe Malware.

Xanthe Malware est un botnet multi-modulaire et une menace de malware qui exploite des installations d'API Docker mal configurées pour infecter les systèmes Linux. Une fois à l'intérieur, Xanthe déploie une variante du populaire malware de cryptomining XMRig Monero et récolte les informations d'identification et les certificats côté client, qu'il utilise pour se propager.

Le fichier initial déposé sur le système ciblé est un script de téléchargement nommé pop.sh chargé de télécharger le module principal d'exécution du botnet - xanthe.sh. Une fois déployé, Xanthe supprime quatre modules malveillants supplémentaires, chacun responsable d'une fonctionnalité nuisible différente:

• libprocesshider.so - un module de masquage de processus
• xesa.txt - un script shell qui désactive les autres menaces de logiciels malveillants de cryptomining, ainsi que les logiciels de sécurité
• fczyo - un script shell chargé de supprimer les cryptomineurs concurrents ciblant Docker
• config.json - le binaire de la variante de crypto-mineur XMRig Monero

Le module principal tente de s'étendre à d'autres systèmes, à la fois connectés à des réseaux locaux et extérieurs. Pour cela, Xanthe obtient l'adresse IP de l'hôte compromis en se connectant à icanhazip.com. Ensuite, la menace du logiciel malveillant récupère les certificats côté client en exploitant l'utilitaire de recherche. Lorsque toutes les clés ont été obtenues, Xanthe recherche les ports TCP connus, les hôtes et les mots de passe de ces hôtes. Un processus en boucle itérant sur toutes les combinaisons possibles des informations obtenues est utilisé pour tenter de se connecter à des hôtes distants. En cas de succès, Xanthe télécharge et exécute son module principal sur le système distant via des lignes de commande.