< p class="meta"> Di Charlie Osborne per Zero Day | 22 settembre 2021 | Argomento: Sicurezza
Il cryptojacker z0Miner sta ora armando una nuova vulnerabilità di Confluence per estrarre la criptovaluta su macchine vulnerabili.
I ricercatori di Trend Micro hanno affermato martedì che il malware per il mining di criptovalute sta ora sfruttando una vulnerabilità di esecuzione del codice remoto (RCE) Atlassian Confluence recentemente divulgata, che è stata resa pubblica solo nell'agosto di quest'anno.
Tracciata come CVE-2021-26084, la vulnerabilità ha un impatto sulle versioni del server Confluence 6.6.0, 6.13.0, 7.4.0 e 7.12.0.
Rilasciato un punteggio di gravità CVSS di 9.8, il difetto di sicurezza critico è una vulnerabilità di iniezione Object-Graph Navigation Language (ONGL) che può essere sfruttata per attivare RCE – ed è noto per essere attivamente sfruttata in natura.
La vulnerabilità è stata segnalata da Benny Jacob tramite il programma bug bounty di Atlassian.
z0Miner, un bundle di mining di Trojan e criptovalute, è stato aggiornato per sfruttare l'RCE, così come Oracle WebLogic Server RCE (CVE-2020-14882) e ElasticSearch RCE (CVE-2015-1427), Jenkins e altri bug di esecuzione del codice nel software server più diffuso.
Una volta individuato un server vulnerabile e utilizzata la vulnerabilità per ottenere l'accesso remoto, il malware distribuirà una serie di webshell per installare ed eseguire file dannosi, incluso un file .dll mascherato da servizio di integrazione Hyper-V, nonché un'attività pianificata che finge di essere un'attività legittima di .NET Framework NGEN.
L'attività tenterà di scaricare ed eseguire script dannosi da un repository su Pastebin, ma per ora l'URL è stato estratto.
Queste azioni iniziali hanno lo scopo di mantenere la persistenza su una macchina infetta. Nella sua seconda fase di implementazione del payload, z0Miner eseguirà quindi la scansione e distruggerà tutti i miner di criptovaluta concorrenti installati sul server, prima di avviare il proprio, un miner che ruba le risorse di elaborazione per generare Monero (XMR).
È stata rilasciata una patch per risolvere CVE-2021-26084 e poiché gli attori delle minacce cercheranno sempre di sfruttare nuovi bug per i propri fini (gli attacchi a Microsoft Exchange Server ne sono un ottimo esempio) i sistemi vulnerabili dovrebbero essere sempre aggiornati con una nuova sicurezza correzioni il più rapidamente possibile dagli amministratori IT.
Copertura precedente e correlata
170 app di truffe per il mining di criptovalute Android rubano $ 350 000 agli utenti
Il crimine informatico influisce sui prezzi delle criptovalute? I ricercatori scoprono
Migliaia di PS4 sequestrate in Ucraina nell'estrazione illegale di criptovalute
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Blockchain Security TV Data Management CXO Data Center 