Los investigadores de ciberseguridad han descubierto una nueva campaña que ofrece mineros de criptomonedas llamados Linuxsys, aprovechando fallas de seguridad conocidas que afectan a los servidores Apache HTTP.
La vulnerabilidad en cuestión es CVE-2021-41773 (puntaje CVSS: 7.5). Esta es una vulnerabilidad transversal pasada de alta fuerza en Apache HTTP Server Versión 2.4.49 que puede conducir a la ejecución de código remoto.
«Los atacantes aprovechan el sitio web legal comprometido para distribuir malware, permitiendo que se eviten la entrega y detección de sigilo», dijo Vulncheck en un informe que comparten con Hacker News.
La secuencia de infección observada a principios de este mes y se originó en la dirección IP de Indonesia 103.193.177 (.) 152 está diseñada para eliminar la siguiente carga útil de «RepositoryLinux (.) Org» usando curl o wget.
La carga útil es un script de shell responsable de descargar el minero de criptomonedas de Linuxsys de cinco sitios web legítimos diferentes, lo que sugiere que los actores de amenaza detrás de la campaña han comprometido la infraestructura de terceros para facilitar la distribución de malware.
«Este enfoque es inteligente porque las víctimas se conectarán a hosts legítimos con certificados SSL válidos y es poco probable que causen una detección más baja», dijo Vulncheck. «Además, proporciona una capa de separación para el sitio de descarga (‘RepositoryLinux (.) Org’) porque el malware en sí no está alojado allí».
El sitio también aloja otro script de shell llamado «cron.sh» que garantiza que el minero comience automáticamente al reiniciar el sistema. La compañía de seguridad cibernética también identificó dos ejecutables de Windows en el sitio pirateado, aumentando la probabilidad de que los atacantes perseguen el sistema operativo de escritorio de Microsoft.
Vale la pena señalar que el ataque que distribuye Linuxsys Miner aprovechó previamente los defectos de seguridad críticos de Osgeo Geoserver Geotools (CVE-2024-36401, CVSS Puntuación: 9.8), según lo registrado por Fortinet Fortiguard Labs en septiembre de 2024.
Curiosamente, después de la explotación de los defectos, el script de shell se descargó de «RepositoryLinux (.) Com» y se descargaron comentarios del código fuente escritos en la palabra indonesia Sundanese. El mismo script de shell se detectó en la naturaleza, que se remonta a diciembre de 2021.
Algunas de las otras vulnerabilidades que han sido explotadas en los últimos años para entregar mineros –
CVE-2023-22527, vulnerabilidad de inyección de plantilla en el Centro de datos de Confluence Atlassian y Confluence Server CVE-2023-34960, Vulnerabilidad de inyección de comandos en el Sistema de Gestión de Aprendizaje de Chamilo (LMS) CVE-2023-38646, Vulnerabilidad de inyección de comandos en la metabasa CVE-2024-0012 y CVE-0024-944444 Alto Network Firewall bypass y privilegio de vulnerabilidad de escalada
«Todo esto muestra que los atacantes están ejecutando campañas a largo plazo y emplean tecnologías consistentes como la explotación del día N, el contenido de la organización de anfitriones comprometidos y máquinas de víctimas de minería de monedas», dijo Vulncheck.
«Parte de su éxito proviene de una orientación cuidadosa. Parecen evitar los honeypots de baja interacción para observar su actividad y requieren altas interacciones. Combinado con el uso de hosts comprometidos debido a la distribución de malware, este enfoque ha ayudado en gran medida a los atacantes a evitar el escrutinio».
GhostContainer Backdoor dirigido a Exchange Server
El desarrollo es implementar una puerta trasera llamada GhostContainer en la falla de seguridad N-Day de Microsoft Exchange Server, ya que Kaspersky reveló detalles de una campaña dirigida a las agencias gubernamentales de Asia. El ataque sospecha que Exchange Server (CVE-2020-0688, puntaje CVSS: 8.8) puede haber explotado un error de ejecución de código remoto cuyo ataque está actualmente parcheado.
La compañía rusa dijo que «la puerta trasera multifuncional sofisticada» puede «expandirse dinámicamente con cualquier función» al descargar módulos adicionales, y agregó que «la puerta trasera tiene un control total sobre el servidor de Exchange a los atacantes y les permite realizar una variedad de actividades maliciosas».
El malware está equipado para analizar las instrucciones que pueden ejecutar shellcode, descargar archivos, leer y eliminar archivos, ejecutar cualquier comando y cargar bytecodes .NET adicionales. También incluye un proxy web y un módulo de túnel.
Se sospecha que la actividad es parte de una campaña de amenaza de alto permanente (APT) dirigida a organizaciones de alto valor, incluidas las empresas de alta tecnología en Asia.
Poco se sabe sobre la persona detrás del ataque, pero es calificada altamente calificada debido a su comprensión detallada de Microsoft Exchange Server y su capacidad para convertir el código publicado en herramientas finales de espía avanzadas.
«La puerta trasera GhostContainer no establece conexiones con la infraestructura (de comando y control)», dijo Kaspersky. «En cambio, el atacante se conecta a un servidor comprometido externamente, y sus comandos de control están ocultos dentro de las solicitudes web de intercambio normales».
Source link
