Исследователи рапортуют о новых атаках, нацеленных на установку программ-майнеров посредством эксплуатации уязвимостей. Авторы одной текущей киберкампании избрали мишенями серверы Redis и Windows, другой — Apache Solr.

Активность злоумышленников, атакующих сразу и серверы базы данных, и серверы приложений, в Imperva наблюдают уже неделю. Авторы этой агрессивной кампании, получившей кодовое имя RedisWannaMine, проводят массовое сканирование Интернета в поисках открытых серверов Redis, пригодных для эксплойта CVE-2017-9805 — уязвимости в Apache Struts, пропатченной разработчиком в сентябре прошлого года.

В результате эксплойта на машину со сторонних ресурсов загружаются криптомайнер и masscan — инструмент поиска открытых серверов, выложенный в публичный доступ на GitHub. При обнаружении новых возможностей весь цикл заражения повторяется, то есть RedisWannaMine, по словам экспертов, демонстрирует способность к самораспространению.

Примечательно, что, завершив сканирование портов 6379 (дефолтный порт Redis для входящих соединений), новоявленный зловред приступает к поиску Windows-серверов с уязвимой версией SMB — по умолчанию эта служба доступна на порту 445. Как можно было догадаться, для установки криптомайнера на Windows авторы атаки используют эксплойт Eternal Blue, который уже не раз служил этой цели. В частности, им оперируют боты Adylkuzz, WannaMine и Smominru.

Стоит отметить, что злоумышленники, промышляющие криптоджекингом, не впервые делают ставку на Redis. Так, исследователи из китайской ИБ-компании Qihoo 360 уже несколько месяцев наблюдают активность ботнета DDG, составленного в основном из таких серверов. При этом атаки на Redis проводятся не через эксплойт, а подбором пароля по словарю. Как оказалось, за время использования DDG для майнинга он принес ботоводам более 1 млн долларов в XMR.

О другой криптоджекинг-кампании, сфокусированной на поисковых серверах Apache Solr, в минувшую пятницу предупредил Ренату Маринью (Renato Marinho) из Morphus Labs — эксперт, который ранее обнаружил аналогичные атаки на серверы WebLogic. Те же злоумышленники теперь атакуют Apache Solr, пытаясь использовать RCE-баг CVE-2017-12629.

За девять дней, с 28 февраля по 8 марта, исследователи насчитали 1777 заражений — по большей части в США и Западной Европе; в 1416 случаев жертвами оказались непропатченные серверы Solr. По данным Morphus Labs, эта киберкампания нацелена на развертывание XMRig — популярного майнера Monero.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры