最近发现的一个加密矿僵尸网络正在积极扫描易受攻击的Windows和Linux企业服务器,并使用Monero(XMRig)挖矿机和自蔓延式恶意软件有效载荷对其进行感染。
该僵尸网络于2月首次被阿里云(Aliyun)安全研究人员 发现(自称Sysrv-hello), 并于2020年12月活跃。该僵尸网络在3月的活动激增后也登陆了Lacework Labs 和 Juniper Threat Labs的研究人员的 视野。
最初,僵尸网络使用的是带有矿工和蠕虫(传播器)模块的多组件体系结构,但僵尸网络已升级为使用单个二进制文件,能够将恶意软件挖掘并自动传播到其他设备。
Sysrv-hello的传播器组件积极地扫描互联网,寻找更易受攻击的系统,以利用针对漏洞的漏洞利用其可远程执行恶意代码的漏洞,将其添加到Monero采矿机器人大军中。
Lacework发现,攻击者“正在通过PHPUnit,Apache Solar,Confluence,Laravel,JBoss,Jira,Sonatype,Oracle WebLogic和Apache Struts中的远程代码注入/远程代码执行漏洞来针对云工作负载,以获取初始访问权限,” Lacework发现。
入侵服务器并杀死竞争的加密货币矿工后,该恶意软件还将使用从受感染服务器上各个位置收集的SSH私钥,以暴力攻击在网络中传播。
Lacework补充说:“横向移动是通过受害机器上可用的SSH密钥以及从bash历史记录文件,ssh配置文件和known_hosts文件中标识的主机进行的。”
Sysrv-hello定位的漏洞
僵尸网络的活动在三月份激增之后,瞻博网络发现了六种漏洞,这些漏洞被主动攻击中收集的恶意软件样本利用:
- Mongo Express RCE(CVE-2019-10758)
- XML-RPC(CVE-2017-11610)
- Saltstack RCE(CVE-2020-16846)
- Drupal Ajax RCE(CVE-2018-7600)
- ThinkPHP RCE(无CVE)
- XXL-JOB Unauth RCE(无CVE)
僵尸网络过去使用的其他漏洞还包括:
- Laravel(CVE-2021-3129)
- Oracle Weblogic(CVE-2020-14882)
- Atlassian Confluence服务器(CVE-2019-3396)
- Apache Solr(CVE-2019-0193)
- PHPUnit(CVE-2017-9841)
- Jboss应用程序服务器(CVE-2017-12149)
- Sonatype Nexus存储库管理器(CVE-2019-7238)
- 詹金斯蛮力
- WordPress暴力破解
- 通过YARN ResourceManager执行Apache Hadoop未经身份验证的命令执行(无CVE)
- Jupyter Notebook命令执行(无CVE)
- Tomcat Manager取消身份验证上载命令执行(无CVE)
缓慢但稳定地填充加密货币钱包
Lacework Labs团队成功恢复了Sysrv-hello XMrig挖掘配置文件,该文件帮助他们找到了僵尸网络使用的Monero钱包之一,以收集在F2Pool采矿池中开采的Monero。
在取消对MineXMR的支持后,在野外发现的最新样本也增加了对Nanopool矿池的支持。
即使这个钱包仅包含12个以上的XMR(约合4,000美元),加密货币僵尸网络仍会定期使用多个与多个采矿池链接的钱包来收集非法赚取的加密货币,这可以迅速增加一笔不小的财富。
例如,另一个与Nanopool连接并被Juniper研究人员发现的钱包包含3月1日至3月28日期间收集的8个XMR(约1,700美元的门罗币)。
Sysrv-hello并不只是为了免费的计算能力而在互联网上拖网,因为其他僵尸网络也正在积极尝试通过利用和奴役易受攻击的服务器来挖掘Monero加密货币来获利。
360 Netlab的研究人员发现了z0Miner加密采矿僵尸网络的日益活跃和升级版本, 试图感染易受攻击的Jenkins和ElasticSearch服务器以挖掘Monero。
Cybereason的Nocturnus事件响应小组于周四在Prometei僵尸网络上发布了发现,该发现于去年首次发现, 并且至少从2016年开始活跃,现在在未安装补丁程序的Microsoft Exchange服务器上部署了Monero矿工。
*编译:Domino
*来自:bleepingcomputer