Сотрудники компании Intezer, занимающейся анализом вредоносного ПО, имеют, по данным пост в блогеs обнаружили нового червя, который атакует Linux и Windows серверы, чтобы использовать свои вычислительные мощности для добычи крипто-валюты Monero. Как правило, Монеро, в отличие от многих других криптографических валют, рассчитывается не специальными Asics, а обычными GPU и CPU. Таким образом, захваченные серверы x86 достигают высокой производительности.
По словам Intezer, червь централизованно распределяется и управляется через командно-контрольный сервер. Обычный сайт Обновления на сервере предполагают, что сеть добычи управляется активной хакерской группой.
MySQL, Tomcat и Jenkins как векторы атаки.
Червь распространяется через общедоступные интерфейсы таких сервисов, как MySQLTomcat и Jenkins (такие порты как 8080, 7001 и 3306). Червь пытается угадать слабые пароли к этим службам с помощью атаки грубой силы. Первоначально используется словарный подход, при котором часто используемые пароли тестируются в приоритетном порядке.
Как только вредоносная программа обнаруживает пароль, она распространяет скрипт-дроппер через bash или powershell, который устанавливает MXRig miner. Кроме того, червь затем пытается независимый в сети зараженного сервера, чтобы использовать дополнительные ресурсы для криптоминирования. В настоящее время вредоносная программа не детектируется антивирусным ПО и поэтому, по мнению Intezer, является очень опасной.
Поэтому защиту могут обеспечить только надежные пароли и, по возможности, двухфакторная аутентификация. Компания по безопасности также рекомендует отключать сервисы, которые не используются, и ограничивать доступность требуемых сервисов извне. Кроме того, по мнению Intezer, программное обеспечение, которое поддерживается в актуальном состоянии, часто может предотвратить заражение вредоносными программами.
