Хакеры начали использовать протокол Tox в качестве части C&C-инфраструктуры

Чт 25 Август 2022 05:10

Необычное применение протокола Tox обнаружили специалисты из Uptycs, которые проанализировали ELF-файл под названием “72client”. Этот файл имеет функционал бота и умеет запускать скрипты на скомпрометированном хосте с помощью Tox.

Tox – это бессерверный протокол для децентрализованной текстовой, голосовой и видеосвязи в интернете. Все криптографические функции выполняются с помощью криптобиблиотеки NaCl.

Исследовав “72client”, специалисты сделали несколько выводов:

ELF-файл написан на языке программирования C и к нему статически подключена только одна библиотека – c-toxcore, которая является эталонной реализацией протокола Tox;

Файл предназначен для записи shell-скриптов в каталог "/var/tmp/" с их последующим запуском, что позволяет ему выполнять команды, уничтожающие процессы, которые связаны с криптомайнером;

Кроме того, файл выполняет процедуру, позволяющую использовать ряд определенных команд (например, nproc, whoami, machine-id и т.д.). Результаты выполнения этих команд отправляются злоумышленникам по UDP.

Еще у ELF-файла есть возможность получать различные команды через Tox, обновляющие или выполняющие shell-скрипт в индивидуальном порядке. Команда "exit" обрывает соединение с Tox.

И пускай обнаруженный файл не делает ничего явно вредоносного, эксперты Uptycs считают, что он может быть частью криптомайнинговой кампании.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 261 день 14 часов 42 минуты 33 секунды
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.