Поделиться
Старинная уязвимость в Apache HTTP Server используется для заражения криптомайнером
«Баг» 2021 г. пополнил список уязвимостей, которыми пользуются скрытные и осторожные злоумышленники, распространяющие криминальный криптомайнер Linuxsys.
Тихой сапой
Уязвимость в Apache HTTP Server, датированная 2021 г., стала мишенью для масштабной кампании по распространению криптомайнеров.
Сама по себе уязвимость CVE-2021-41773 представляет собой типичную ошибку обхода пути, которая затрагивает одну версию Apache HTTP Server - 2.4.49. Успешная эксплуатация открывает возможность запуска произвольного кода.
«Хакеры используют легитимные веб-сайты для распространения вредоносов, благодаря чему доставка производится скрытно, в обход средств обнаружения», - отметил эксперт компании VulnCheck Джейкоб Бэйнс (Jacob Baines).
Конечным этапом последовательности атаки становится развертывание криптомайнера Linuxsys.
Источник атак удалось отследить к индонезийскому IP-адресу 103.193.177.152. C него осуществляется попытка воспользоваться уязвимостью и, в случае успеха, - загрузить с сайта repositorylinux.org файл с «полезной нагрузкой» второй стадии - скрипт linux.sh.
Злоумышленник использует либо curl, либо wget. Домен repositorylinux.org был зарегистрирован всего лишь год назад, а в январе этого года - спрятан за защитные барьеры Cloudflare.
Все легитимно
Что касается шелл-скрипта linux.sh, то он интересен тем, что пытается скачать файл настроек и тело самого криптомайнера сразу с пяти разных легитимных сайтов.
Сайты сами по себе выглядят легитимными, без каких-либо признаков вредоносности. По-видимому, они были взломаны заранее.
На этих же сайтах хостится файл cron.sh, обеспечивающий криптомайнеру перезапуск при каждой перезагрузке системы. Сверх этого, там обнаружились файлы под Windows - nssm.exe и winsys.exe.
«Это указывает на существование Windows-компонента этого криптомайнера, но в деле мы его не видели», - пишут исследователи.
Издание The Hacker News утверждает, что скрипт linux.sh применялся еще в 2021 г., и что его операторы эксплуатировали множество разных уязвимостей на протяжении последних четырех лет.
Среди них: CVE-2023-22527 — уязвимость внедрения шаблона в Atlassian Confluence Data Center и Confluence Server; CVE-2023-34960 — уязвимость внедрения команд в образовательной платформе Chamilo (LMS); CVE-2023-38646 — уязвимость внедрения команд в Metabase; CVE-2024-0012 и CVE-2024-9474 — уязвимости обхода аутентификации и повышения привилегий в межсетевых экранах Palo Alto Networks.
Криптомайнеры любят шумовую завесу
Эксперты VulnCheck отмечают, что злоумышленники, стоящие за кампанией, явно играют вдолгую, и их успех обусловлен скрупулезным подбором мишеней.
«[Операторы] избегают honeypot-приманок с низким трафиком, так что для наблюдения за ними в деле требуется высокая степень взаимодействия [с приманкой]. Вкупе с использованием скомпрометированных хостов для распространения вредоносов, такой подход помог злоумышленникам избежать внимания», - указывают исследователи.
«Исследование VulnCheck призвано помочь нейтрализовать уязвимости, которыми на данный момент пользуются операторы кампании, однако, вероятнее всего, старый «баг» в Apache HTTP Server - не единственная отмычка в их арсенале», - говорит Никита Павлов, эксперт по информационной безопасности компании SEQ. «Что до самого криптомайнера, то обычно такие вредоносы устанавливаются туда, где они будут малозаметны, то есть, в высокопроизводительные системы с активным трафиком. Так что предпочтение систем с высоким уровнем взаимодействия связано не только, а может быть, и не столько с соображениями скрытности».
Ранее исследователи Fortinet отмечали распространение криптомайнера Linuxsys через атаки на уязвимость в OSGeo GeoServer GeoTools (CVE-2024-36401, 9,8 балла по шкале CVSS). Связаны ли эти атаки с нынешней кампанией, неясно.
Linuxsys известен своей прожорливостью, забирая значительную часть оперативной памяти и вычислительных мощностей. Незаметным он останется только если зараженный им сервер плохо обслуживается.
Короткая ссылка
