Серверы на ОС Linux и Windows атакует новый манер Monero

Непрерывное усложнение майнинга и рост его себестоимости дало толчок для развития целой хакерской индустрии — которая предполагает майнинг криптовалюты за счет мощностей ничего не подозревающих пользователей Сети. И если первые веб-майнеры атаковали персональные компьютеры, то теперь под угрозой оказались целые серверы.

В поле зрения специалистов по киберзащите попал майнер криптовалюты Monero под названием «RubyMiner», который атакует серверы под управлением Linux и Windows. Спецификой работы майнера RubyMiner является то, что он атакует серверы с устаревшим ПО. Массовые атаки с его использованием начались 9 января этого года.

Для поиска уязвимых web-серверов операторы майнера используют инструмент p0f (инструмент, использующий массив сложных, исключительно пассивных механизмов снятия отпечатков трафика для идентификации игроков, стоящих за любым случайным TCP/IP соединением, без какого-либо вмешательства). Обнаружив сервер с устаревшим ПО, злоумышленники эксплуатируют следующие известные уязвимости: выполнение кода в фреймворке Ruby on Rails (CVE-2013-0156), выполнение кода в PHP php-cgi (CVE-2012-1823, CVE-2012-2311, CVE-2012-2335, CVE-2012-2336 и CVE-2013-4878) и раскрытие исходного кода в Microsoft IIS ASP (CVE-2005-2678).

Исследователи выделили характерные черты атак с использованием RubyMiner:

Код эксплоита содержит серию шелл-команд;
Атакующие добавили в cron новое задание, выполняемое каждый час (hourly);
Каждый час cron загружает скрипт, размещенный online;
Загружаемый скрипт находится в файле robots.txt на различных доменах;

Скрипт загружает и устанавливает модифицированную версию легитимного приложения XMRig для майнинга криптовалюты Monero.

На сегодняшний день известно о заражении как минимум 700 серверов. В загружаемой вредоносом кастомизированной версии XMRig исследователи обнаружили и адрес криптовалютного кошелька на который поступают намайненные монеты. Судя по нему, хакеры успели заработать на скрытом майнинге не много, всего около $540.

По материалам источника

Поделитесь новостью с друзьями
Самые актуальные новости
в нашем
Telegram канале