Исследователи Sysdig обнаружили , что хакеры используют open-source утилиту Linux PRoot в атаках BYOF (BRYOF-атака, Bring Your Own Filesystem), чтобы обеспечить согласованный репозиторий вредоносных инструментов, которые работают во многих дистрибутивах Linux.
PRoot – это утилита с открытым исходным кодом, которая позволяет пользователю настроить изолированную корневую файловую систему в Linux. В обнаруженных атаках хакер использует PRoot для развертывания вредоносной файловой системы на уже скомпрометированных системах, которые включают инструменты сетевого сканирования – “masscan” и “nmap”, криптомайнер XMRig и их файлы конфигурации.
Файловая система содержит все необходимое для атаки, аккуратно упакованное в сжатый Gzip tar-файл со всеми необходимыми зависимостями, загруженный из доверенных служб облачного хостинга, таких как DropBox.
Вредоносная гостевая файловая система
Поскольку PRoot компилируется статически и не требует никаких зависимостей, злоумышленник просто загружает предварительно скомпилированный двоичный файл из GitLab и монтирует его в загруженной и извлеченной файловой системе. В большинстве случаев киберпреступники распаковывали файловую систему в “/tmp/Proot/”, а затем активировали криптомайнер XMRig.
По словам исследователей, хакер может использовать PRoot для загрузки других полезных нагрузок помимо XMRig, что потенциально может нанести более серьезный ущерб взломанной системе. Наличие “masscan” в файловой системе вредоносного ПО указывает на то, что хакеры планируют взломать также и другие системы на взломанной машине.
Использование утилиты PRoot делает эти атаки независимыми от платформы и распространения, что делает их более эффективными и незаметными. Кроме того, предварительно настроенная файловая система PRoot позволяет киберпреступнику использовать набор инструментов во многих конфигурациях ОС без необходимости переноса своих вредоносных программ на целевую архитектуру или включения зависимостей и инструментов сборки.
Атаки с использованием PRoot позволяет злоумышленнику не думать об архитектуре или дистрибутиве цели, поскольку этот инструмент устраняет проблемы с совместимостью исполняемых файлов, настройкой среды и выполнением вредоносных программ. Такие атаки убирают необходимость настройки среды, и позволяют хакеру быстро масштабировать свои вредоносные кампании.