最近发现的Gitpaste-12 蠕虫通过GitHub传播,并且还在Pastebin上托管了恶意有效载荷,这种蠕虫已经以更多漏洞利用了。
Gitpaste-12的第一版具有反向外壳和加密挖掘功能,并利用了12个已知漏洞,因此被称为绰号。
这次,先进的蠕虫和僵尸网络已经返回了30多个漏洞。
针对Linux,Android工具和IoT设备
Juniper Threat Labs的研究人员于2020年11月10日观察到Gitpaste-12的第二次迭代,该迭代存在于另一个GitHub存储库中。
新版本的Gitpaste-12在其前身的基础上进行了扩展,配备了30多个漏洞利用程序,涉及Linux系统,IoT设备和开源组件。
最初,研究人员观察到了仅包含3个文件的新GitHub存储库。
“攻击浪潮使用了另一个GitHub存储库中的有效负载,该存储库包含Linux加密矿工(’ls’),暴力破解尝试的密码列表(’pass’)和未知来源的静态链接的Python 3.9解释器,”瞻博网络威胁实验室的研究员Asher Langton解释说。
来源:Juniper
但是,后来,在Juniper进行研究时,Gitpaste-12作者将另外两个文件添加到了存储库中。
其中包括用于Monero cryptominer的配置文件(“ config.json”),以及UPX打包的Linux特权升级漏洞。
config.json文件中包含的Monero地址与今年10月发布的Gitpaste-12迭代中观察到的地址相同:41qALJpqLhUNCHZTMSMQyf4LQotae9MZnb4u53JzqvHEWyc2i8PEFUCZ4TGL9AGU34ihPU8QGbRzc4FB2nHMsVeMHaYkxus
在下图所示的示例中,初始感染始于Gitpaste-12示例,该示例从GitHub下载有效负载,并删除了一个cryptominer,以及被感染主机上的后门。
该蠕虫会进一步传播自己,以攻击Web应用程序,Android Debug Bridge连接和IoT设备(包括IP摄像机和路由器)。
进行31种漏洞利用:24种独特漏洞利用
Langton解释说,较新版本的Gitpaste-12具有“至少31个已知漏洞(在以前的Gitpaste-12示例中也看到了7个漏洞),以及试图破坏开放的Android Debug Bridge连接和现有恶意软件后门的漏洞”。 。
研究人员提供的漏洞利用清单包括:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3313
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8361
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11511
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11447
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19509
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8816
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10987
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17463
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496
https://www.exploit-db.com/exploits/37474
https://www.exploit-db.com/exploits/40500
https://www.exploit-db.com/exploits/45135
https://www.exploit-db.com/exploits/45161
https://www.exploit-db.com/exploits/46542
https://www.exploit-db.com/exploits/48225
https://www.exploit-db.com/exploits/48358
https://www.exploit-db.com/exploits/48676
https://www.exploit-db.com/exploits/48734
https://www.exploit-db.com/exploits/48737
https://www.exploit-db.com/exploits/48743
https://www.exploit-db.com/exploits/48751
https://www.exploit-db.com/exploits/48758
https://www.exploit-db.com/exploits/48771
https://www.exploit-db.com/exploits/48775
https://www.exploit-db.com/exploits/48805
https://www.exploit-db.com/exploits/48827
这些漏洞利用中的一些与流行的开源应用程序有关,例如 JBoss Seam 2, CutePHP, mongo-express, Pi-hole和 FuelCMS。
蠕虫会将诸如vBulletin之类的著名专有Web应用程序 作为目标。
除了利用这些漏洞之外, 捆绑在Gitpaste-12中的X10-unix蠕虫还攻击了在端口5555上运行的Android调试桥(adb)应用程序,从而将恶意的本机二进制文件(“ blu”)和APK上传到Android设备。
复杂的APK在安装时会将设备的IP地址发布到Pastebin,然后进一步下载恶意负载。
根据研究人员的说法,Gitpaste-12的这种迭代已经危害了至少100个不同的宿主。
“虽然很难确定此恶意软件活动的广度或有效性,部分原因是Monero(与比特币不同)没有公开可追踪的交易,[Juniper Threat Labs]可以确认已观察到一百多个不同的主机在传播感染,”研究人员说。
Gitpaste-12的这一演变版本在最初的10月发行之后不久就浮出水面。
我们尚未发现在不久的将来是否还会有此攻击的更高级版本。
完整的研究发现和Gitpaste-12危害指标(IOC)列表可在Juniper Threat Labs的博客文章中找到。
*编译:Domino
*来自:bleepingcomputer