Новый ботнет атакует серверы под Windows и Linux для добычи криминальной криптовалюты

0
110

Расползающийся ботнет

Новый криптомайнинговый ботнет активно атакует корпоративные серверы под Windows и Linux с целью генерации Monero. Он также пытается распространяться по всем доступным устройствам в той же сети, в которой располагается атакованный сервер.

Впервые ботнет Sysrv-hello был обнаружен в феврале 2021 г. экспертами Alibaba Cloud (Aliyun). После всплеска активности ботнета в марте им вплотную занялись специалисты Lacework Labs и Juniper ThreatLabs.

Изначально Sysrv использовал многокомпонентную архитектуру, где за добычу криптовалюты и распространение вредоноса отвечали разные модули. Теперь же используется один и тот же двоичный файл, который выполняет функции и «червя», и майнера.

На сегодняшний день Sysrv-hello атакует уязвимые серверы, на которых функционируют HPUnit, ApacheSolar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic или Apache Struts. Для изначального проникновения ботнет на текущий день использует шесть уязвимостей, большая часть из которых позволяет запускать произвольный код в контексте системы удаленно: CVE-2019-10758 — уязвимость в MongoExpress, CVE-2017-11610 — уязвимость в XML-RPC, CVE-2020-16846 — уязвимость в SaltstackRCE, CVE-2018-7600 — баг в DrupalAjax и еще две уязвимости в XXL-Job и ThinkPHP, не получившие индекса CVE.

ЧИТАТЬ ТАКЖЕ:  Крупнейший в мире производитель ноутбуков переведет их на устаревший Wi-Fi

Новый ботнет атакует серверы под Windows и Linux для добычи криминальной криптовалюты

Ботнет добывает на корпоративных серверах криминальную валюту

Ранее он также использовал еще семь эксплойтов к различным уязвимостям в вышеуказанных платформах (CVE-2021-3129, CVE-2020-14882, CVE-2019-3396, CVE-2019-0193, CVE-2017-9841, CVE-2017-12149 и CVE-2019-7238), а также производил брутфорс-атаки против Jenkins и WordPress и эксплуатировал еще три уязвимости без CVE-индекса — в Apache Hadoop, Jupyter Notebook и Tomcat Manager.

Конкурент не пройдет

Проникнув на целевой сервер, Sysrv-hello убивает любые другие криптомайнеры, если они там уже есть, и пытается различными способами распространиться дальше, используя брутфорс, приватные SSH-ключи, собранные на инфицированных серверах и т. д.

Как указывают эксперты Lacework, передвижение по сети производится с помощью SSH-ключей и информации о хостах, извлеченной из файлов истории команд bash, файлов настроек ssh и known_host.

ЧИТАТЬ ТАКЖЕ:  Мировые продажи ноутбуков показывают бешеный рост

Экспертам удалось отследить как минимум один криптокошелек, в который стекается сгенерированная ботнетом валюта. В нем всего 12 единиц Monero, что по ее текущему курсу составляет около $4 тыс. Скорее всего, таких кошельков намного больше: операторы ботнетов редко складывают все в одну корзину.

«Monero отличается высоким уровнем анонимности, поэтому эта криптовалюта весьма популярна у киберкриминала, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — С этим же связано то, что ее генерация производится паразитическим методом — инструменты для генерации нелегально устанавливаются на высокопроизводительные системы, желательно на максимальное их количество, чтобы обеспечить наибольшую выработку за минимальный срок. Соответственно, таким ботнетам очень выгодно иметь функциональность “червей” и возможность эксплуатировать как можно большее количество уязвимостей в целевых серверах».

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь