En ny kryptojackningskampanj som tagits fram av forskare vid olika företag avslöjar att hotaktörer utnyttjar sårbarheter i Windows- och Linux-servrar för att bryta Monero. Det finns olika sårbarheter i dessa system. Botnätet som bildas av hotaktörer kommer med en enda binär med XMrig för gruvdrift och en spridare för att infektera fler.
Cryptojacking mot Windows och Linux
Kryptojackning är när hotaktörerna utnyttjar en sårbarhet i den riktade maskinen och installerar gruvprogramvara för att skapa kryptovalutor till sin egen fördel. Och om det görs i stor skala genom att utnyttja uppkopplade system i ett nätverk, bildar det ett botnät och tjänar ännu mer intäkter till hotaktörerna.
En sådan operation upptäcktes av Aliyun (Alibaba Cloud) forskare i februari i år. De okända hotaktörer utnyttjar olika sårbarheter i Windows- och Linux-servrar för att bryta Monero-mynt. Namngiven som Sysrv-hejforskare detaljerade senare denna kampanj på Juniper Threat Labs och Lacework Labs i mars i år efter en ökning av attacker.
Genom att säga att botnätverksamheten är aktiv sedan december 2020 har den uppdaterats för att vara mer effektiv och direkt. Enligt forskare brukade botnätet ha två komponenter av gruvarbetaren (XMrig för att bryta mynt) och en mask för spridning över nätverket. Men den uppgraderades senare för att ha en enda binär fil med både gruv- och spridningsfunktioner.
Enligt Lacework riktar sig botnätet på “” för initial åtkomst och sprider sig genom nätverket genom att erhålla privata SSH-nycklar tillgängliga i offersystemet.
Juniper Threat Labs har detaljerat de sårbarheter som utnyttjas av detta botnät enligt nedan;
- Mongo Express RCE (CVE-2019-10758)
- XML-RPC (CVE-2017-11610)
- Saltstack RCE (CVE-2020-16846)
- Drupal Ajax RCE (CVE-2018-7600)
- ThinkPHP RCE (ingen CVE)
- XXL-JOB Unauth RCE (ingen CVE)
Och några tidigare exploaterade sårbarheter listades också;
- Laravel (CVE-2021-3129)
- Oracle Weblogic (CVE-2020-14882)
- Atlassian Confluence Server (CVE-2019-3396)
- Apache Solr (CVE-2019-0193)
- PHPUnit (CVE-2017-9841)
- JBoss Application Server (CVE-2017-12149)
- Sonatype Nexus Repository Manager (CVE-2019-7238)
- Jenkins brute force
- WordPress brute force
- Apache Hadoop Oautenticated Command Execution via YARN ResourceManager (ingen CVE)
- Jupyter Notebook Command Execution (ingen CVE)
- Utförande av obehörigt uppladdningskommando från Tomcat Manager (ingen CVE)
Att hitta och spåra de anslutna Monero-plånböckerna i den här botnätskampanjen har en balans som växer upp långsamt men stadigt.