< p class = "meta"> Av Charlie Osborne för Zero Day | 22 september 2021 | Ämne: Säkerhet
Z0Miner -kryptojackern beväpnar nu en ny Confluence -sårbarhet för att bryta för kryptovaluta på sårbara maskiner.
Trend Micro-forskare sa på tisdagen att malware-mining-malware nu utnyttjar en nyligen avslöjad Atlassian Confluence-fjärrkörning (RCE), som endast offentliggjordes i augusti i år.
Spårad som CVE-2021-26084 påverkar sårbarheten Confluence-serverversionerna 6.6.0, 6.13.0, 7.4.0 och 7.12.0.
Utfärdade en CVSS-allvarlighetspoäng på 9,8, den kritiska säkerhetsfelen är en sårbarhet för injektionsspråk i Object-Graph Navigation Language (ONGL) som kan utnyttjas för att utlösa RCE-och som är känd för att aktivt utnyttjas i naturen.
Sårbarheten rapporterades av Benny Jacob genom Atlassians bug -bounty -program.
z0Miner, ett trojanskt gruvpaket för trojaner och kryptovaluta, har uppdaterats för att utnyttja RCE, liksom Oracles WebLogic Server RCE (CVE-2020-14882) och ElasticSearch RCE (CVE-2015-1427), Jenkins och andra kodkörningsbuggar i populär serverprogramvara.
När en sårbar server har hittats och sårbarheten har använts för att få fjärråtkomst kommer skadlig programvara att distribuera en uppsättning webbskal för att installera och köra skadliga filer, inklusive en .dll-fil förklädd som en Hyper-V-integrationstjänst, samt en schemalagd uppgift som låtsas vara en legitim .NET Framework NGEN -uppgift.
Uppgiften kommer att försöka ladda ner och köra skadliga skript från ett arkiv på Pastebin, men från och med nu har webbadressen dragits.
Dessa första åtgärder syftar till att upprätthålla uthållighet på en infekterad maskin. I sin andra etapps nyttolastutplacering kommer z0Miner sedan att skanna och förstöra alla konkurrerande kryptovaluta-gruvarbetare som är installerade på servern, innan han startar sin egen-en gruvarbetare som stjäl beräkningsresurser för att generera Monero (XMR).
En patch har släppts för att lösa CVE-2021-26084, och eftersom hotaktörer alltid kommer att försöka utnyttja nya buggar för sina egna ändamål-Microsoft Exchange Server-attackerna är ett utmärkt exempel-bör sårbara system alltid uppdateras med ny säkerhet fixar så snabbt som möjligt av IT -administratörer.
Tidigare och relaterad täckning
170 Android -kryptovaluta -gruvappar stjäl 350 000 dollar från användare
Påverkar cyberbrott kryptovalutapriser? Forskare får reda på
Tusentals PS4 som beslagtagits i Ukraina i illegal gruvdrift för kryptovaluta
Har du ett tips? Kontakta oss säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Blockchain Security TV Data Management CXO Data Center