Атакуващи се възползват от уязвимости в неподдържани платформиОт началото на

...
Атакуващи се възползват от уязвимости в неподдържани платформиОт началото на
Коментари Харесай

RubyMiner заразява сървъри под Windows и Linux

Атакуващи се възползват от уязвимости в неподдържани платформи

От началото на 2018 година са засечени най-малко две акции за заразяване на сървъри с криптомайнери

Засечен е нов злоумишлен майнер на криптовалута, който се популяризира на сървъри под ръководство на Windows и Linux. За заплахата оповестяват специалисти от фирмите за сигурност Check Point, Ixia и Certego.

Кампанията с RubyMiner тече от една седмица и досега са инфектирани към 700 сървъра. За достъп до Linux машини атакуващите употребяват стратегия за отдалечено установяване на версията на сървърния програмен продукт, наречена p0f. Когато открият остарели, неподдържани версии на операционната система, атакуващите пускат общодостъпни експлойти за заразяване на сървърите с криптомайнера.
още по тематиката
Към момента има данни за експлоатиране на уязвимости в Ruby on Rails, Microsoft IIS и пет дупки в PHP. Кодът на експлойта съдържа shell-команди, като при заразяване се изтриват всички предходни задания, инициирани от демона cron, и се основава нова задача, която се пуска един път на всеки час и смъква от далечен запас скрипт, записван във файла robots.txt за разнообразни домейни. Скриптът смъква и конфигурира модифицирана версия на законния криптомайнер XMRig Monero.

Един от вредоносните домейни, употребявани от киберпрестъпниците (lochjol.com), е в полезрението на кибепрестъпниците още от 2013 година Чрез него се популяризира злоумишлен програмен продукт, който употребява уязвимостта CVE-2013-0156 в Ruby on Rails. Сегашните офанзиви се възползват от същата накърнимост.

В първите две седмици на 2018 година фирмите за сигурност засякоха най-малко две акции за заразяване на сървъри с криптомайнери. Така да вземем за пример, PyCryptoMiner нападна сървъри под Linux, до момента в който друга група се прицелва против Oracle WebLogic машини.

Според специалистите, атакуващите търсят занемарени, само че към момента работоспособни сървъри с стар програмен продукт, админите на които от дълго време са ги не запомнили. Разпространителите на престъпни криптомайнери са мощно заинтригувани от сървърите, защото те имат по-висока, спрямо персоналните компютри, продуктивност, даже в случай че са задоволително остарели.

До момента заработеното от инфектираните сървъри е малко – в електронните портфейли, обслужвани от RubyMiner, е добита криптовалута единствено за 540 $. Но групировката, употребяваща експлойти за сървъри WebLogic, е проработила няколко хиляди $ от октомври 2017 година до момента.
Източник: technews.bg

СПОДЕЛИ СТАТИЯТА



Промоции

КОМЕНТАРИ
НАПИШИ КОМЕНТАР