Gitpaste-12蠕虫僵尸网络返回30多个漏洞

gitpaste-12

最近发现的Gitpaste-12 蠕虫通过GitHub传播,并且还在Pastebin上托管了恶意有效载荷,这种蠕虫已经以更多漏洞利用了。

Gitpaste-12的第一版具有反向外壳和加密挖掘功能,并利用了12个已知漏洞,因此被称为绰号。

这次,先进的蠕虫和僵尸网络已经返回了30多个漏洞。

针对Linux,Android工具和IoT设备

Juniper Threat Labs的研究人员于2020年11月10日观察到Gitpaste-12的第二次迭代,该迭代存在于另一个GitHub存储库中。

新版本的Gitpaste-12在其前身的基础上进行了扩展,配备了30多个漏洞利用程序,涉及Linux系统,IoT设备和开源组件。

最初,研究人员观察到了仅包含3个文件的新GitHub存储库。

“攻击浪潮使用了另一个GitHub存储库中的有效负载,该存储库包含Linux加密矿工(’ls’),暴力破解尝试的密码列表(’pass’)和未知来源的静态链接的Python 3.9解释器,”瞻博网络威胁实验室的研究员Asher Langton解释说。

现已删除的托管gitpaste-12第二版本的GitHub存储库sptv001
现已删除的GitHub存储库已托管Gitpaste-12第二次迭代
来源:Juniper

但是,后来,在Juniper进行研究时,Gitpaste-12作者将另外两个文件添加到了存储库中。

其中包括用于Monero cryptominer的配置文件(“ config.json”),以及UPX打包的Linux特权升级漏洞。

config.json文件中包含的Monero地址与今年10月发布的Gitpaste-12迭代中观察到的地址相同:41qALJpqLhUNCHZTMSMQyf4LQotae9MZnb4u53JzqvHEWyc2i8PEFUCZ4TGL9AGU34ihPU8QGbRzc4FB2nHMsVeMHaYkxus

在下图所示的示例中,初始感染始于Gitpaste-12示例,该示例从GitHub下载有效负载,并删除了一个cryptominer,以及被感染主机上的后门。

该蠕虫会进一步传播自己,以攻击Web应用程序,Android Debug Bridge连接和IoT设备(包括IP摄像机和路由器)。

gitpaste-12第二版工作流程
Gitpaste-12第二版工作流程

进行31种漏洞利用:24种独特漏洞利用

Langton解释说,较新版本的Gitpaste-12具有“至少31个已知漏洞(在以前的Gitpaste-12示例中也看到了7个漏洞),以及试图破坏开放的Android Debug Bridge连接和现有恶意软件后门的漏洞”。 。

研究人员提供的漏洞利用清单包括:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1871

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3313

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8361

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11511

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11447

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19509

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8816

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10987

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17463

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496

https://www.exploit-db.com/exploits/37474

https://www.exploit-db.com/exploits/40500

https://www.exploit-db.com/exploits/45135

https://www.exploit-db.com/exploits/45161

https://www.exploit-db.com/exploits/46542

https://www.exploit-db.com/exploits/48225

https://www.exploit-db.com/exploits/48358

https://www.exploit-db.com/exploits/48676

https://www.exploit-db.com/exploits/48734

https://www.exploit-db.com/exploits/48737

https://www.exploit-db.com/exploits/48743

https://www.exploit-db.com/exploits/48751

https://www.exploit-db.com/exploits/48758

https://www.exploit-db.com/exploits/48771

https://www.exploit-db.com/exploits/48775

https://www.exploit-db.com/exploits/48805

https://www.exploit-db.com/exploits/48827

这些漏洞利用中的一些与流行的开源应用程序有关,例如 JBoss Seam 2,  CutePHP, mongo-express,  Pi-hole和 FuelCMS。

 蠕虫会将诸如vBulletin之类的著名专有Web应用程序 作为目标。 

除了利用这些漏洞之外, 捆绑在Gitpaste-12中的X10-unix蠕虫还攻击了在端口5555上运行的Android调试桥(adb)应用程序,从而将恶意的本机二进制文件(“ blu”)和APK上传到Android设备。

复杂的APK在安装时会将设备的IP地址发布到Pastebin,然后进一步下载恶意负载。

根据研究人员的说法,Gitpaste-12的这种迭代已经危害了至少100个不同的宿主。

“虽然很难确定此恶意软件活动的广度或有效性,部分原因是Monero(与比特币不同)没有公开可追踪的交易,[Juniper Threat Labs]可以确认已观察到一百多个不同的主机在传播感染,”研究人员说。

Gitpaste-12的这一演变版本在最初的10月发行之后不久就浮出水面。

我们尚未发现在不久的将来是否还会有此攻击的更高级版本。

完整的研究发现和Gitpaste-12危害指标(IOC)列表可在Juniper Threat Labs的博客文章中找到

*编译:Domino

*来自:bleepingcomputer