Cybersecurity -onderzoekers hebben een nieuwe campagne ontdekt die een bekende beveiligingsfoutbeveiligingsfout maakt die van invloed is op Apache HTTP -server om een cryptocurrency -mijnwerker te leveren genaamd Linuxsys.
De kwetsbaarheid in kwestie is CVE-2021-41773 (CVSS-score: 7.5), een hoog-ernstige pad-doorverweging van de Path Traversal in Apache HTTP Server versie 2.4.49 die kan leiden tot externe code-uitvoering.
“De aanvaller maakt gebruik van gecompromitteerde legitieme websites om malware te distribueren, waardoor stealthy levering en ontwijking van detectie mogelijk is,” zei Vulncheck in een rapport dat wordt gedeeld met het Hacker News.
De infectiescombinatie, eerder deze maand waargenomen en afkomstig van een Indonesisch IP-adres 103.193.177 (.) 152, is ontworpen om een payload van de volgende fase te laten vallen van “RepositoryLinux (.) Org” met Curl of WGET.
De payload is een shell-script dat verantwoordelijk is voor het downloaden van de Linuxsys cryptocurrency-mijnwerker van vijf verschillende legitieme websites, wat suggereert dat de dreigingsactoren achter de campagne erin zijn geslaagd om een infrastructuur van derden in gevaar te brengen om de verdeling van de malware te vergemakkelijken.
“Deze aanpak is slim omdat slachtoffers verbinding maken met legitieme hosts met geldige SSL -certificaten, waardoor detectie minder waarschijnlijk is,” merkte Vulncheck op. “Bovendien biedt het een laag scheiding voor de downloadersite (‘repositorylinux (.) Org’) omdat de malware zelf daar niet wordt gehost.”
De sites organiseren ook een ander shell -script met de naam “Cron.sh” dat ervoor zorgt dat de mijnwerker automatisch wordt gelanceerd op een systeem opnieuw opstarten. Cybersecurity Firm zei dat het ook twee Windows -uitvoerbare bestanden op de gehackte sites identificeerde, waardoor de mogelijkheid werd opgevoed dat de aanvallers ook achter het desktop -besturingssysteem van Microsoft aangaan.
Het is vermeldenswaard dat aanvallen de distributie van de Linuxsys Miner eerder een kritische beveiligingsfout hebben benut in Osgeo Geoserver Geotools (CVE-2024-36401, CVSS-score: 9.8), zoals gedocumenteerd door Fortinet Fortuard Labs in september 2024.
Interessant is dat het shell -script daalde na de exploitatie van de fout werd gedownload van “Repositorylinux (.) Com”, met opmerkingen in de broncode geschreven in Sundanese, een Indonesische taal. Hetzelfde shell -script is al in december 2021 in het wild gedetecteerd.
Sommige van de andere kwetsbaarheden die de afgelopen jaren zijn geëxploiteerd om de mijnwerker te leveren, zijn onder meer –
- CVE-2023-22527, een kwetsbaarheid van sjablooninjectie in Atlassian Confluence Data Center en Confluence Server
- CVE-2023-34960, een kwetsbaarheid voor commando-injectie in Chamilo Learning Management Systems (LMS)
- CVE-2023-38646, een kwetsbaarheid voor commando-injectie in metabase
- CVE-2024-0012 en CVE-2024-9474, zijn authenticatie-bypass en privilege escalatie kwetsbaarheden in Palo Alto Networks Firewalls
“Dit alles geeft aan dat de aanvaller een langetermijncampagne heeft gehouden, met consistente technieken zoals N-Day-uitbuiting, het organiseren van inhoud op gecompromitteerde gastheren en muntmijnbouw op slachtoffermachines,” zei Vulncheck.
“Een deel van hun succes komt van zorgvuldige targeting. Ze lijken lage interactie -honeypots te vermijden en vereisen een hoge interactie om hun activiteit te observeren. Gecombineerd met het gebruik van gecompromitteerde hosts voor malwareverdeling, heeft deze aanpak de aanvaller grotendeels geholpen bij het vermijden van controle.”
Uitwisselingsservers gericht door GhostContainer Backdoor
De ontwikkeling komt wanneer Kaspersky details onthulde van een campagne die zich richt op overheidsentiteiten in Azië, waarschijnlijk met een N-Day beveiligingsfout in Microsoft Exchange Server, om een op maat gemaakte achterdeur te implementeren GhostContainer. Er wordt vermoed dat de aanvallen mogelijk een nu afgestemde externe code-uitvoeringsbug in Exchange Server hebben benut (CVE-2020-0688, CVSS-score: 8.8).
De “geavanceerde, multifunctionele achterdeur” kan “dynamisch worden uitgebreid met willekeurige functionaliteit door het downloaden van extra modules”, zei het Russische bedrijf, waarbij de achterdeur de aanvallers volledige controle over de Exchange Server verleent, waardoor ze een reeks kwaadaardige activiteiten kunnen uitvoeren. “
De malware is uitgerust om instructies te parseren die shellcode kunnen uitvoeren, bestanden kunnen downloaden, bestanden kunnen lezen of verwijderen, willekeurige opdrachten kunnen uitvoeren en extra .NET -byte -code kunnen laden. Het bevat ook een webproxy en tunnelingmodule.
Er wordt vermoed dat de activiteit mogelijk deel uitmaakt van een geavanceerde persistent-dreiging (APT) -campagne gericht op hoogwaardige organisaties, waaronder hightechbedrijven, in Azië.
Er is niet veel bekend over wie achter de aanvallen zit, hoewel ze als zeer bekwaam worden beoordeeld vanwege hun diepgaande begrip van Microsoft Exchange Server en hun vermogen om openbaar beschikbare code te transformeren in geavanceerde spionagetools.
“De GhostContainer-achterdeur legt geen verbinding tot stand met een (command-and-control) infrastructuur,” zei Kaspersky. “In plaats daarvan maakt de aanvaller verbinding met de gecompromitteerde server van buitenaf en zijn hun besturingsopdrachten verborgen in normale uitwisselingswebverzoeken.”
