Bleeping Computer предупреждает о массовой эксплуатации уязвимостей в Linux- и Windows-серверах с целью установки майнера Monero. Новую агрессивную кампанию обнаружили исследователи из F5 Networks. По их словам, злоумышленники проводят сложные многоступенчатые атаки, стараясь расширить свое присутствие в локальной сети с помощью инструментов из арсенала АНБ.

В F5 новую вредоносную кампанию нарекли Zealot — по имени одного из zip-файлов, загружаемых на целевой сервер в ходе атаки. Судя по этому и другим названиям вредоносных файлов (Observer, Overlord, Raven), инициаторы данной кампании являются поклонниками стратегической игры StarCraft.

Атака в рамках Zealot начинается со сканирования Интернета в поисках серверов, содержащих незакрытую уязвимость CVE-2017-5638 (в Apache Struts) или обнародованную в июле CVE-2017-9822 (в CMS-системе DNN, ранее DotNetNuke). Напомним, CVE-2017-5638 — это брешь, послужившая точкой входа для взломщиков Equifax.

Примечательно, что текущие атаки нацелены сразу на обе платформы — и Windows, и Linux. Для дальнейшего распространения полезной нагрузки по сети злоумышленники используют эксплойты EternalBlue и EternalSynergy, слитые активистами Shadow Brokers весной этого года.

В результате эксплуатации на Windows загружается обфусцированный скрипт PowerShell, который устанавливает и запускает майнер Monero. На Linux атакующие с этой целью применяют Python-скрипты, написанные, по всей видимости, на основе фреймворка EmpireProject.

По словам экспертов, в настоящее время в виртуальном кошельке, который использует подвергнутый анализу майнер, скопилось порядка 8,5 тыс. долларов в Monero-валюте. F5 предупреждает, что вместо криптомайнера в результате подобной атаки на машине может оказаться любая другая нежелательная нагрузка.

Категории: Аналитика, Вредоносные программы, Главное