Uptycs Threat ResearchTeamには発見されたマルウェアは、脆弱な* nixベースのサーバーを乗っ取り、それらを使用して暗号通貨をマイニングするだけでなく、他のアプリケーションのパフォーマンスを犠牲にしてマイニングパフォーマンスを向上させるために、実際にCPU構成を変更します。

加害者は、Golangベースのワームを使用して、などの既知の脆弱性を悪用しますCVE-2020-14882 (Oracle WebLogic)および CVE-2017-11610 (監視対象)Linuxシステムにアクセスするには、記録。マシンを乗っ取ると、モデル固有のレジスタ(MSR)を使用して、ハードウェアプリフェッチャーを無効にします。データと命令は、必要になる前にメモリからL2キャッシュにフェッチします。

プリフェッチは何年も使用されており、さまざまなタスクのパフォーマンスを向上させることができます。ただし、無効にすると、加害者が使用するマイニングソフトウェアであるXMRigのマイニングパフォーマンスが15%向上する可能性があります。

ただし、ハードウェアプリフェッチャーを無効にすると、正当なアプリケーションのパフォーマンスが低下します。次に、サーバーオペレーターは、パフォーマンス要件を満たすために追加のマシンを購入するか、既存のハードウェアの電力制限を増やす必要があります。いずれの場合も、消費電力が増加し、追加の費用がかかります。

ボットネットは少なくとも2020年12月から使用されており、MySQL、Tomcat、Oracle WebLogic、Jenkinsの脆弱性を標的にしていると報告されています。これは、さまざまなプログラムを攻撃するのに十分な柔軟性があることを示しています。これらの攻撃がどの程度蔓延しているかは不明ですが、セキュリティ研究者が調査するのに十分なほど一般的であるようです。

Categories: IT Info