Sydkoreanska polisen ta ner cryptocurrency pyramidspel med hjälp av AI
Förövarna påstås lurad $18,7 miljoner från äldre och pensionärer.
Ett säkerhetsproblem som förekommer i Sammanflödet Server och Sammanflödet Data Center som aktivt utnyttjas i det vilda av angripare för att avsiktligt mina cryptocurrency, säger forskarna.
Enligt Trend Micro, angripare utnyttja CVE-2019–3396, en bugg finns i Widgeten Kontakt makro i Atlassian Confluence Server, som tillåter en väg igenom och fjärrkörning av kod via server-side-injektion.
Atlassian släppt en patch på Mars 20, 2019, för att lösa säkerhetsproblem tillsammans med en medföljande fix för CVE-2019-3395, en WebDAV-endpoint fråga som tillåter angripare utifrån att skicka godtyckliga HTTP-och WebDAV-begäran från en Sammanflödet Server eller Data Center exempel.
Det verkar dock som att unpatched Sammanflödet system är i stor utsträckning utnyttjas i den nya kampanjen, som fokuserar på gruvdrift Monero.
Se också: Vad ska du göra när din ICO är död i vattnet? Flog det på eBay
Forskarna, Augusto Remillano II och Robert Malagad, säga att CVE-2019–3396 var tidigare som används för att släppa Gandcrab ransomware, och nu är felet också utnyttjas för att släppa rootkits och cryptocurrency mining skadlig kod på sårbara system.
Infektionen kedjan börjar med en fjärrkontroll kommando som skickas för att hämta ett shell-skript från Pastebin. Detta skript innehåller döda processen kapacitet och möjlighet att ladda ner och köra en andra shell-skript, igen från en Pastebin källa, så småningom leder till en tredje Pastebin shell script att ladda ner.
CNET: HTC hoppas Exodus 1 telefon kommer att tjäna pengar på cryptocurrency
En Trojan dropper, känd som Kerberods, är sedan hämtas och installeras. Detta malware droppar “khugepageds” cryptocurrency miner — flaggas som Coinminer.Linux.MALXMR.UWEJI — vid sidan av rootkit komponent.
Trend Micro
×
skärmdump-2019-05-09-på-09-18-34.png
Rootkit, som är utformade för att maskera cryptocurrency miner ‘ s verksamhet, tappas i en kod-format som sedan sammanställts i GCC.
Kerberods har också möjlighet att propagera över nätverk via SSH genom utnyttjande av CVE-2019-1003001 och CVE-2019-1003000, som Jenkins automat server säkerhetsbrister som kan leda till exekvering av godtycklig kod.
TechRepublic: Cryptocurrency marknaden att explodera på grund av snabb transaktion hastigheter, enterprise investeringar
Både Kerberods och dess rootkit använda anpassade packers för att göra analysen mer utmanande. Rootkit är inte bara att kunna dölja gruv-processen men också kunna knyta den infekterade maskinen är CPU-användning-i sin tur döljer en av de viktigaste indikatorerna på en cryptocurrency gruv-malware drift.
Med tanke på den aktiva utnyttja Sammanflödet av Servrar i det vilda, är det rekommenderat att admins gäller Atlassian är fläckar utan dröjsmål.
Tidigare och relaterade täckning
2018: s mest uppmärksammade cryptocurrency katastrofer och it-angrepp
Detta är tecken på ett bedrägligt ICO
I detta land, din cryptocurrency måste gå via din bank
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter