Noll
Det har bara gått två veckor sedan en kritisk sårbarhet i Apache Struts 2 visades för allmänheten, men detta har inte hindrat cyberbrottslingar från att snabbt lägga till proof-of-concept (PoC) attack-kod till sin arsenal.
Säkerhetsbrist, lappat av Apache Software Foundation, spåras som CVE-2018-11776 har orsakats på grund av otillräcklig validering av icke-betrodda användare data i kärnan Struts-ramverket. Om exploateras, kan felet leda till att fjärrkörning av kod.
En uppdaterad bygga har släppts som skyddar användarna från angrepp.
De som inte har installerat säkerhetsuppdatering, men får finna sig utsatta för en ny cryptojacking kampanj som utnyttjar det säkerhetsproblem.
Forskare från F5 Labs säga Apache bugg används i en ny cryptomining kampanj som påverkar Linux-maskiner.
Enligt forskarna, hot aktörer utnyttja PoC-koden för Apache Struts 2 kritiska till fjärrkörning av kod inlagd för att Pastebin att infiltrera Linux-system för att gruvdriften Monero.
Gruvdrift för cryptocurrency, såsom Bitcoins (BTC), Ethereum (ETH), och Monero (XMR), är en helt legitim verksamhet som använder datorkraft för att hitta virtuella mynt. Men när denna makt tas utan godkännande sådan verksamhet anses cryptojacking.
Den vanligaste taktiken som används av brottslingar i cryptojacking kampanjer är Coinhive manus, ett legitimt system som allmänt missbrukas.
I juli, en massiv cryptojacking kampanj avslöjades som ett botnät används förslavade MikroTik routrar till gruvan för Monero.
Se även: Japan frågor först-någonsin fängelse i cryptojacking fall
Dubbade CroniX, ny attack utnyttjar Apache fel att skicka en HTTP-begäran samtidigt som injicera ett Objekt som Diagram Språk (OGNL) – uttryck som innehåller skadlig JavaScript-kod.
TechRepublic: Varför cryptocurrency behöver för att bli mer användarvänliga för att uppnå framgångar
Denna kod ringer och laddar ner en fil som startar en Powershell-kommando på den infekterade systemet.
Den nedladdade filen är ett bash-script som anger antalet “stora sidor” i minne och 128 i förberedelse för gruvdrift. Cron-jobb är sedan in för att envishet, hämta en update.sh fil på en daglig basis och en fil som heter “anacrond” som du kan uppmanas att starta om gruvprojekt om den ursprungliga skadliga filer tas bort.
För att se till att cryptomining kampanj är att inte behöva kämpa för processor resurser, malware sedan skannar systemet och dödar alla binärer relaterade till tidigare cryptominers.
Se även: Windows-verktyg som används av skadlig kod i ny information stöld kampanjer
När tävlingen har utrotats, angriparen hämtar och kör “XMRigCC” miner som innehåller inbäddade information om konfigurationen, inklusive plånbok information och gruvdrift pool läge.
En process som kallas XHide genomförs också för att dölja de gruvarbetare som en Java-service.
“Med tanke på att det bara har gått två veckor sedan denna sårbarhet upptäcktes, det är värt att notera hur snabbt angripare är weaponizing sårbarheter och hur snabbt forskare är att se dem i det vilda,” F5 Labs säger. “Företag måste vara så vaksam som någonsin om lapp-system som påverkas omedelbart.”
CNET: Någon har precis köpt en cryptocurrency katt för $172,000
Förra året, Equifax skyllde sitt rekord dataintrång och exponering av uppgifter som hör till 147 miljoner konsumenter på en Apache Struts sårbarhet. Underlåtenhet att korrigera fel månader efter det att en säkerhet rådgivande utfärdades har kostat bolaget över $439 miljoner kronor.
Tidigare och relaterade täckning
Facebook ‘s” war room ” jagar och förstör valet att lägga sig, falska nyheter Denna malware döljer sig som bank security raid ditt konto i Googles campus dörren säkerhet blästrade vidöppna av sin egen ingenjör
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter
0