Исследователи из Wordfence с понедельника наблюдают агрессивные атаки на сайты WordPress, проводимые методом брутфорса с целью установки майнера криптовалюты Monero. Интенсивность брутфорс-событий, регистрируемых в рамках текущей кампании, на пике составила 14,1 млн в час. Примечательно, что атакующие используют скомпрометированные сайты не только для криптомайнинга, но и для новых взломов брутфорсом.

«Новая кампания настолько агрессивна, что нам сразу пришлось расширить инфраструктуру регистрации событий, чтобы справиться с этим потоком, — пишет Марк Мондер (Mark Maunder) в блоге Wordfence. — Уже понятно, что это самая мощная атака за всю историю наблюдений Wordfence, которые компания ведет с 2012 года».

По состоянию на 18 декабря эксперты зафиксировали более 10 тыс. уникальных IP-адресов, с которых проводятся брутфорс-атаки. Их цели множатся с интенсивностью до 190 тыс. WordPress-сайтов в час, и некоторые из них оперативно включаются в процесс массового взлома. При этом, как удалось установить, злоумышленники используют не только списки распространенных паролей, но также «эвристический анализ имен доменов и содержимого атакуемых сайтов».

По данным Wordfence, майнер Monero, устанавливаемый на скомпрометированный сервер в результате атаки, создан на основе XMRig. К счастью, он работает под аккаунтом обычного пользователя, хотя и пытается по возможности скрыть свое присутствие. Так, при запуске зловред создает свою копию с другим именем — возможно, заимствует его у произвольного файла на зараженном сервере. Большинство вариантов вредоносного майнера при активации также удаляют свой файл с диска во избежание обнаружения антивирусом.

В обеспечение постоянного присутствия в системе зловред устанавливается как задача планировщика (cron), запускаемая ежесекундно.

Связь с центром управления осуществляется по IRC-каналам, не использующим шифрование, поэтому у экспертов Wordfence была возможность проанализировать не только сэмплы, но и C&C-коммуникации. «С учетом особенностей трафика и результатов анализа некоторых образцов можно предположить, что вредоносное ПО является вариантом Tsunami, он же Kaiten», — пишут исследователи в блоге (Tsunami/Kaiten — издавна известный IRC-бот с функционалом бэкдора, ориентированный на Unix).

Совокупно Wordfence обнаружила восемь C&C-серверов, используемых в рамках текущей кампании. Четыре из них подняты в сетях крупнейшего интернет-провайдера OVH, базирующегося во Франции. Используемый ими протокол, по словам экспертов, незатейлив: зловред соединяется с IRC-сервером, регистрируясь под ником, характеризующим зараженный сервер (в эту строку обычно включены такие данные, как архитектура и имя узла). В ответ он получает команды от других ботов или пользователей в виде приватных сообщений.

Команды подаются через равные промежутки времени и в основном касаются загрузки и запуска скриптов с удаленных серверов. Иногда C&C запрашивает дополнительную информацию о зараженном сервере, хотя некоторые из этих сообщений скорее похожи на автоматизированную проверку статуса.

За сутки наблюдений в Wordfence обнаружили, что интенсивность брутфорс-атак иногда резко меняется: по всей видимости, злоумышленники время от времени перераспределяют ресурсы, выполняющие раздельные задачи — майнинг криптовалюты и проведение брутфорс-атак.

На двух Monero-кошельках, которые удалось идентифицировать, к среде скопилось более 100 тыс. долларов в криптовалюте. Исследователи полагают, что текущую киберкампанию спровоцировал прежде всего рост курса Monero, который с начала декабря почти удвоился. В пользу этого предположения говорят также другие недавние открытия — Zealot-атаки на Linux и Windows с целью установки майнера Monero, экспансия Android-троянца Loapi, хозяев которого тоже интересует эта криптовалюта.

Категории: Аналитика, Вредоносные программы, Главное, Хакеры