Różności i nowinki technologia

Urządzenia z systemem Windows i Linux są atakowane przez nowego robaka wydobywającego kryptowaluty

Urządzenia z systemem Windows i Linux są atakowane przez nowego robaka wydobywającego kryptowaluty

Getty Images

Jeden z naukowców powiedział, że nowo odkryty robak wydobywający kryptowaluty zintensyfikuje swoje ataki na urządzenia z systemami Windows i Linux, wykorzystując zestaw nowych exploitów i możliwości.

Firma badawcza Juniper rozpoczęła w grudniu monitorowanie tego, co nazywa botnetem Sysrv. Jednym ze składników złośliwego oprogramowania botnetu był robak, który rozprzestrzeniał się z jednego wrażliwego urządzenia na drugie bez konieczności podejmowania jakichkolwiek działań przez użytkownika. Dokonał tego, skanując Internet w poszukiwaniu podatnych na ataki urządzeń, a po znalezieniu infekując je za pomocą listy exploitów, która z czasem wzrosła.

Złośliwe oprogramowanie zawierało również kryptowalutę, która wykorzystuje zainfekowane urządzenia do tworzenia cyfrowej waluty Monero. Dla każdego komponentu istniał osobny plik binarny.

Stale rosnący arsenał

Do marca programiści Sysrv przeprojektowali złośliwe oprogramowanie, aby połączyć robaka i kopacza w jeden plik binarny. Dali również skryptowi ładującemu złośliwe oprogramowanie możliwość dodawania kluczy SSH, najprawdopodobniej w celu lepszego przetrwania ponownych uruchomień i uzyskania bardziej wyrafinowanych możliwości. Robak wykorzystywał sześć luk w oprogramowaniu i strukturach wykorzystywanych w przedsiębiorstwach, w tym Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP i Drupal Ajax.

„Na podstawie plików binarnych, które widzieliśmy, oraz czasu, w którym je widzieliśmy, stwierdziliśmy, że osoba będąca zagrożeniem nieustannie aktualizuje swój arsenał exploitów” – powiedział badacz Juniper Paul Kimayong w czwartkowym poście na blogu.

Juniper Research

W czwartkowym poście wymieniono kilkanaście exploitów atakowanych przez szkodliwe oprogramowanie. Oni są:

Wykorzystać Oprogramowanie
CVE-2021-3129 Laravel
CVE-2020-14882 Oracle Weblogic
CVE-2019-3396 Makro łącznika widżetów na serwerze Atlassian Confluence Server
CVE-2019-10758 Mongo Express
CVE-2019-0193 Apache Solr
CVE-2017-9841 PHPUnit
CVE-2017-12149 Serwer aplikacji Jboss
CVE-2017-11610 Nadzorca (XML-RPC)
Nieuwierzytelnione wykonanie polecenia Apache Hadoop za pośrednictwem YARN ResourceManager (bez CVE) Apache Hadoop
Brute force Jenkins Jenkins
Wykonywanie poleceń notatnika Jupyter (bez CVE) Serwer notebooków Jupyter
CVE-2019-7238 Sonatype Nexus Repository Manager
Wykonywanie polecenia wysyłania Tomcat Manager w trybie Unauth (bez CVE) Tomcat Manager
WordPress Bruteforce WordPress

Exploity, które Juniper Research widział wcześniej przez złośliwe oprogramowanie to:

  • Mongo Express RCE (CVE-2019-10758)
  • XXL-JOB Unauth RCE
  • XML-RPC (CVE-2017-11610)
  • CVE-2020-16846 (Saltstack RCE)
  • ThinkPHP RCE
  • CVE-2018-7600 (Drupal Ajax RCE)

Wejdź, woda jest świetna

Deweloperzy zmienili również dołączanie zainfekowanych urządzeń do pul wydobywczych. Górnik to wersja XMRig o otwartym kodzie źródłowym, która obecnie zajmuje się wydobyciem następujących pul wydobywczych:

  • Xmr-eu1.nanopool.org:14444
  • f2pool.com:13531
  • minexmr.com:5555

Pula wydobywcza to grupa górników kryptowalut, którzy łączą swoje zasoby obliczeniowe, aby zmniejszyć zmienność swoich zwrotów i zwiększyć szanse na znalezienie bloku transakcji. Według strony PoolWatch.io, która porównuje rentowność puli wydobywczych, pule używane przez Sysrv to trzy z czterech największych pul wydobywczych Monero.

„W połączeniu razem mają prawie 50% wskaźnika hashowania w sieci” – napisał Kimayong. „Kryterium aktora zagrażającego wydaje się być najlepszymi pulami wydobywczymi z wysokimi wskaźnikami nagród”.

Juniper Research

Zysk z wydobycia jest deponowany na następujący adres portfela:

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

Nanopool pokazuje, że portfel zyskał 8 XMR o wartości około 1700 USD od 1 marca do 28 marca. Dodaje około 1 XMR co dwa dni.

Juniper Research

Zagrożenie zarówno dla Windowsa, jak i Linuksa

Plik binarny Sysrv to 64-bitowy plik binarny Go, spakowany z programem pakującym UPX o otwartym kodzie źródłowym. Istnieją wersje dla systemu Windows i Linux. Według VirusTotal, dwa losowo wybrane pliki binarne systemu Windows zostały wykryte przez 33 i 48 z 70 najpopularniejszych usług ochrony przed złośliwym oprogramowaniem. Dwa losowo wybrane pliki binarne Linuksa miały sześć i dziewięć.

Zagrożenie ze strony tego botnetu to nie tylko obciążenie zasobów obliczeniowych i niebanalny odpływ energii elektrycznej. Złośliwe oprogramowanie, które ma możliwość uruchomienia programu kryptowalutowego, prawie na pewno może również instalować oprogramowanie ransomware i inne złośliwe produkty. Czwartkowy wpis na blogu zawiera dziesiątki wskaźników, na podstawie których administratorzy mogą sprawdzić, czy urządzenia, którymi zarządzają, są zainfekowane.

Zostaw komentarz

Maciek Luboński
Z wykształcenia jestem kucharzem , ale to nie przeszkadza mi pisać dla Was tekstów z wielu ciekawych dziedzin , których sam jestem fanem.Piszę dużo i często nie na tak jak trzeba , ale co z tego skoro tak naprawdę liczy się pasja.

Najlepsze recenzje

Video

gallery

Facebook