自12月初以来,一种新发现且自我传播的基于Golang的恶意软件一直在积极地在Windows和Linux服务器上丢弃XMRig加密货币矿工。
这种多平台恶意软件还具有蠕虫功能,可通过Intezer 安全研究员Avigayil Mechtinger透露的弱口令对蛮横的面向公众的服务(例如MySQL,Tomcat,Jenkins和WebLogic)进行传播,从而将其传播到其他系统。
该活动的攻击者自从首次发现蠕虫以来就一直通过其命令和控制(C2)服务器积极地更新蠕虫的功能,这暗示着一个处于主动维护状态的恶意软件。
C2服务器用于托管bash或PowerShell dropper脚本(取决于目标平台),基于Golang的二进制蠕虫,以及XMRig矿工,用于秘密挖掘受感染设备上的Monero加密货币。
Mechtinger说:“在出版时,在VirusTotal中完全没有检测到ELF蠕虫二进制文件和bash dropper脚本。”
暴力破解和利用暴露的服务器
该蠕虫通过使用密码喷雾和一系列硬编码凭据扫描并强行使用MySql,Tomcat和Jenkins服务,从而将其传播到其他计算机。
还可以看到该蠕虫的旧版本试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。
一旦设法攻陷目标服务器之一,它将部署加载程序脚本(对于Linux为ld.sh,对于Windows为ld.ps1),该脚本同时删除XMRig挖矿程序和基于Golang的蠕虫二进制文件。
如果恶意软件检测到受感染的系统正在侦听端口52013,它将自动杀死自己。如果未使用该端口,该蠕虫将打开自己的网络套接字。
“蠕虫的代码对于它的PE和ELF恶意软件几乎是相同的,而且在VirusTotal中未被发现的ELF恶意软件表明,对于大多数安全和检测平台来说,Linux威胁仍在雷达之下。”
为了抵御这种新的多平台蠕虫病毒发起的暴力攻击,您应该限制登录名,并在所有Internet公开的服务上使用难以猜测的密码,并尽可能使用两因素身份验证。
其他可以抵御这种新恶意软件威胁的方法是,始终确保您的软件始终保持最新状态,并确保无法通过Internet访问服务器,除非绝对必要。
*编译:Domino
*来自:bleepingcomputer