Złośliwe oprogramowanie zmienia serwery Linux i Windows w górników Monero

Pracownicy firmy Intezer, zajmującej się analizą złośliwego oprogramowania, zgodnie z informacją Posterunek na blogus odkrył nowego robaka, który atakuje serwery Linux i Windows w celu wykorzystania ich mocy obliczeniowej do wydobywania kryptowaluty Monero. Z reguły Monero, w przeciwieństwie do wielu innych kryptowalut, nie jest obliczane za pomocą specjalnych Asics, ale konwencjonalnych procesorów graficznych i procesorów CPU. W związku z tym porwane serwery x86 uzyskują wysoką wydajność.

Według Intezera, robak jest centralnie rozmieszczony i kontrolowany przez serwer komend i kontroli. Regularnie Aktualizacje na serwerze sugerują, że sieć górnicza jest zarządzana przez aktywną grupę hakerską.

MySQL, Tomcat i Jenkins jako wektory ataku

Robak rozprzestrzenia się za pośrednictwem publicznie widocznych interfejsów usług, takich jak MySQLTomcat i Jenkins (porty takie jak 8080, 7001 i 3306). Robak próbuje odgadnąć słabe hasła do tych usług za pomocą ataku brute force. Początkowo stosowane jest podejście słownikowe, w którym często używane hasła są testowane w sposób uporządkowany.

Gdy złośliwe oprogramowanie odkryje hasło, rozprowadza skrypt kroplujący za pomocą basha lub powershella, który instaluje MXRig miner. Dodatkowo, robak próbuje wtedy niezależny w sieci zainfekowanego serwera w celu wykorzystania dalszych zasobów do kryptominy. Obecnie złośliwe oprogramowanie nie jest wykrywane przez oprogramowanie antywirusowe i dlatego, według Intezer, jest bardzo niebezpieczne.

Dlatego tylko silne hasła i, jeśli to możliwe, uwierzytelnianie dwuskładnikowe mogą zapewnić ochronę. Firma ochroniarska zaleca również wyłączenie nieużywanych usług i ograniczenie dostępu do wymaganych usług z zewnątrz. Ponadto, według firmy Intezer, aktualizowane oprogramowanie może często zapobiegać infekcji złośliwym oprogramowaniem.

Artykuły bieżące