Разделы

Безопасность

Новый ботнет атакует серверы под Windows и Linux для добычи криминальной криптовалюты

Новый ботнет Sysrv-hello, сочетающий функции «червя» и криптомайнера активно атакует высокопроизводительные серверы под Windows и Linux с целью генерации Monero. Характерной особенностью Sysrv является обилие эксплуатируемых уязвимостей.

Расползающийся ботнет

Новый криптомайнинговый ботнет активно атакует корпоративные серверы под Windows и Linux с целью генерации Monero. Он также пытается распространяться по всем доступным устройствам в той же сети, в которой располагается атакованный сервер.

Впервые ботнет Sysrv-hello был обнаружен в феврале 2021 г. экспертами Alibaba Cloud (Aliyun). После всплеска активности ботнета в марте им вплотную занялись специалисты Lacework Labs и Juniper ThreatLabs.

Изначально Sysrv использовал многокомпонентную архитектуру, где за добычу криптовалюты и распространение вредоноса отвечали разные модули. Теперь же используется один и тот же двоичный файл, который выполняет функции и «червя», и майнера.

На сегодняшний день Sysrv-hello атакует уязвимые серверы, на которых функционируют HPUnit, ApacheSolar, Confluence, Laravel, JBoss, Jira, Sonatype, Oracle WebLogic или Apache Struts. Для изначального проникновения ботнет на текущий день использует шесть уязвимостей, большая часть из которых позволяет запускать произвольный код в контексте системы удаленно: CVE-2019-10758 — уязвимость в MongoExpress, CVE-2017-11610 — уязвимость в XML-RPC, CVE-2020-16846 — уязвимость в SaltstackRCE, CVE-2018-7600 — баг в DrupalAjax и еще две уязвимости в XXL-Job и ThinkPHP, не получившие индекса CVE.

Ботнет добывает на корпоративных серверах криминальную валюту

Ранее он также использовал еще семь эксплойтов к различным уязвимостям в вышеуказанных платформах (CVE-2021-3129, CVE-2020-14882, CVE-2019-3396, CVE-2019-0193, CVE-2017-9841, CVE-2017-12149 и CVE-2019-7238), а также производил брутфорс-атаки против Jenkins и WordPress и эксплуатировал еще три уязвимости без CVE-индекса — в Apache Hadoop, Jupyter Notebook и Tomcat Manager.

Конкурент не пройдет

Проникнув на целевой сервер, Sysrv-hello убивает любые другие криптомайнеры, если они там уже есть, и пытается различными способами распространиться дальше, используя брутфорс, приватные SSH-ключи, собранные на инфицированных серверах и т. д.

Как указывают эксперты Lacework, передвижение по сети производится с помощью SSH-ключей и информации о хостах, извлеченной из файлов истории команд bash, файлов настроек ssh и known_host.

Экспертам удалось отследить как минимум один криптокошелек, в который стекается сгенерированная ботнетом валюта. В нем всего 12 единиц Monero, что по ее текущему курсу составляет около $4 тыс. Скорее всего, таких кошельков намного больше: операторы ботнетов редко складывают все в одну корзину.

«Monero отличается высоким уровнем анонимности, поэтому эта криптовалюта весьма популярна у киберкриминала, — говорит Дмитрий Кирюхин, эксперт по информационной безопасности компании SEC Consult Services. — С этим же связано то, что ее генерация производится паразитическим методом — инструменты для генерации нелегально устанавливаются на высокопроизводительные системы, желательно на максимальное их количество, чтобы обеспечить наибольшую выработку за минимальный срок. Соответственно, таким ботнетам очень выгодно иметь функциональность “червей” и возможность эксплуатировать как можно большее количество уязвимостей в целевых серверах».

Роман Георгиев

Короткая ссылка