Výzkumníci v oblasti kybernetické bezpečnosti objevili novou kampaň, která zneužívá známou bezpečnostní chybu ovlivňující Apache HTTP Server k dodání těžaře kryptoměn s názvem Linuxsys.

Jedná se o zranitelnost CVE-2021-41773 (skóre CVSS: 7,5), vysoce závažnou zranitelnost procházení cest v serveru Apache HTTP Server verze 2.4.49, která může vést ke vzdálenému spuštění kódu.

„Útočník využívá k distribuci malwaru kompromitované legitimní webové stránky, což umožňuje skryté doručení a vyhnutí se detekci,“ uvedl Jacob Baines ze společnosti VulnCheck ve zprávě sdílené s The Hacker News.

Infekční sekvence, která byla zaznamenána na začátku tohoto měsíce a pochází z indonéské IP adresy 103.193.177[.]152, je navržena tak, aby z adresy „repositorylinux[.]org“ pomocí curl nebo wget shodila další fázi payloadu.

Payload je shellový skript, který je zodpovědný za stažení těžaře kryptoměn Linuxsys z pěti různých legitimních webových stránek, což naznačuje, že se aktérům hrozeb stojícím za kampaní podařilo kompromitovat infrastrukturu třetích stran, aby usnadnili distribuci malwaru.

„Tento přístup je chytrý, protože oběti se připojují k legitimním hostitelům s platnými certifikáty SSL, což snižuje pravděpodobnost odhalení,“ poznamenal VulnCheck. „Navíc poskytuje vrstvu oddělení pro web stahovače (‚repositorylinux[.]org‘), protože samotný malware zde není hostován.“

Na stránkách je také umístěn další shellový skript s názvem „cron.sh“, který zajišťuje automatické spuštění mineru při restartu systému. Firma zabývající se kybernetickou bezpečností uvedla, že na napadených stránkách identifikovala také dva spustitelné soubory systému Windows, což zvyšuje možnost, že útočníci jdou také po desktopovém operačním systému společnosti Microsoft.

Stojí za zmínku, že útoky šířící miner Linuxsys již dříve zneužívaly kritickou bezpečnostní chybu v nástroji OSGeo GeoServer GeoTools (CVE-2024-36401, skóre CVSS: 9,8), jak zdokumentovaly laboratoře Fortinet FortiGuard Labs v září 2024.

Zajímavé je, že shellový skript, který byl po zneužití chyby vypuštěn, byl stažen z „repositorylinux[.]com“, přičemž komentáře ve zdrojovém kódu byly napsány v indonéském jazyce sundanese. Stejný shellový skript byl ve volné přírodě zjištěn již v prosinci 2021.

Mezi další zranitelnosti zneužívané k doručení mineru v posledních letech patří:

CVE-2023-22527, zranitelnost typu template injection v Atlassian Confluence Data Center a Confluence Server.
CVE-2023-34960, zranitelnost vstřikování příkazů v systémech pro správu výuky (LMS) Chamilo
CVE-2023-38646, zranitelnost typu command injection v databázi Metabase
CVE-2024-0012 a CVE-2024-9474, zranitelnosti obcházení ověřování a zvyšování oprávnění ve firewallech Palo Alto Networks.

„To vše naznačuje, že útočník vede dlouhodobou kampaň a používá konzistentní techniky, jako je n-day exploit, staging obsahu na napadených hostitelích a těžba mincí na počítačích obětí,“ uvedl VulnCheck.

„Část jejich úspěchu pramení z pečlivého zacílení. Zdá se, že se vyhýbají honeypotům s nízkou interakcí a vyžadují vysokou interakci, aby bylo možné pozorovat jejich činnost. V kombinaci s využitím kompromitovaných hostitelů pro distribuci malwaru tento přístup útočníkům do značné míry pomohl vyhnout se kontrole.“

Objevení útoků na těžaře Linuxsys se shoduje s novou kampaní spojenou s botnetem H2Miner pro těžbu kryptoměn, který dodává Kinsing, trojského koně pro vzdálený přístup (RAT) běžně používaného k doručování těžebního malwaru prostřednictvím cílení na nejrůznější infrastrukturní systémy založené na Linuxu.

Tento řetězec útoků vyniká tím, že dodává také variantu ransomwaru Lcryx založenou na jazyku Visual Basic Script, nazvanou Lcrypt0rx, což představuje první zdokumentovaný případ operačního překrývání těchto dvou malwarových rodin.

„Lcryx je relativně nový kmen ransomwaru založený na jazyku VBScript, který byl poprvé zaznamenán v listopadu 2024,“ uvedl bezpečnostní výzkumník Akshat Pradhan. „Tato rodina vykazuje několik neobvyklých charakteristik, které naznačují, že mohla být vytvořena pomocí umělé inteligence.“

Útoky zahrnují použití shellového skriptu, který ukončuje procesy související s bezpečnostními nástroji, databázemi a dalšími uživatelskými aplikacemi před spuštěním Kinsingu, který následně doručí těžař XMRig. Je také navržen tak, aby zabíjel konkurenční procesy těžaře, které již mohou být spuštěny na napadených hostitelích.

Artefakt Lcrypt0rx zase provádí úpravy registru systému Windows, aby zakázal spouštění kritických nástrojů, jako je Nástroj pro konfiguraci systému, Editor zásad skupiny, Průzkumník procesů a Nástroj pro nastavení systému. Vypíná také bezpečnostní software od společností Microsoft, Bitdefender a Kaspersky a pokouší se přepsat hlavní zaváděcí záznam (MBR) v destruktivním kroku, který má znemožnit spuštění systému.

Zajímavostí je, že Lcrypt0rx před šifrováním stáhne do napadeného počítače další užitečné soubory, včetně stejného souboru XMRig, který vypouštějí H2Miner, Cobalt Strike, ConnectWise ScreenConnect, nástroje pro krádež informací jako Lumma a RustyStealer a injektor, který slouží DCRat.

Jakmile jsou soubory zašifrovány, na několika místech se objeví oznámení o výkupném, které vyzývá oběti, aby do tří dnů zaplatily 1 000 dolarů v kryptoměně, jinak riskují únik svých souborů.

Zdroj: thehackernews.com