< p class="meta"> Door Charlie Osborne voor Zero Day | 22 september 2021 | Onderwerp: Beveiliging
De z0Miner cryptojacker bewapent nu een nieuwe Confluence-kwetsbaarheid om cryptovaluta op kwetsbare machines te delven.
Trend Micro-onderzoekers zeiden dinsdag dat de cryptocurrency-mining-malware nu misbruik maakt van een onlangs bekendgemaakte kwetsbaarheid voor de uitvoering van externe code (RCE) van Atlassian Confluence, die pas in augustus van dit jaar openbaar werd gemaakt.
Bijgehouden als CVE-2021-26084, heeft de kwetsbaarheid gevolgen voor Confluence-serverversies 6.6.0, 6.13.0, 7.4.0 en 7.12.0.
Met een CVSS-ernstscore van 9,8, is de kritieke beveiligingsfout een Object-Graph Navigation Language (ONGL)-injectiekwetsbaarheid die kan worden misbruikt om RCE te activeren – en waarvan bekend is dat deze in het wild actief wordt misbruikt.
De kwetsbaarheid is gemeld door Benny Jacob via het bug bounty-programma van Atlassian.
z0Miner, een Trojan en cryptocurrency mining-bundel, is bijgewerkt om de RCE te exploiteren, evenals Oracle's WebLogic Server RCE (CVE-2020-14882) en ElasticSearch RCE (CVE-2015-1427), Jenkins , en andere fouten bij het uitvoeren van code in populaire serversoftware.
Zodra een kwetsbare server is gevonden en de kwetsbaarheid is gebruikt om toegang op afstand te verkrijgen, zal de malware een reeks webshells inzetten om kwaadaardige bestanden te installeren en uit te voeren, waaronder een .dll-bestand vermomd als een Hyper-V-integratieservice, evenals een geplande taak die zich voordoet als een legitieme .NET Framework NGEN-taak.
De taak zal proberen kwaadaardige scripts te downloaden en uit te voeren vanuit een repository op Pastebin, maar vanaf nu is de URL verwijderd.
Deze eerste acties zijn gericht op het behouden van persistentie op een geïnfecteerde machine. In de tweede fase van de payload-implementatie scant en vernietigt z0Miner vervolgens alle concurrerende cryptocurrency-miners die op de server zijn geïnstalleerd, voordat het zijn eigen miner lanceert – een miner die computerbronnen steelt om Monero (XMR) te genereren.
Er is een patch uitgebracht om CVE-2021-26084 op te lossen, en aangezien bedreigingsactoren altijd nieuwe bugs voor hun eigen doeleinden zullen proberen te exploiteren – de Microsoft Exchange Server-aanvallen zijn een goed voorbeeld – moeten kwetsbare systemen altijd worden bijgewerkt met nieuwe beveiliging herstelt zo snel mogelijk door IT-beheerders.
Eerdere en gerelateerde berichtgeving
170 Android-zwendel-apps voor cryptocurrency-mining stelen $ 350 000 van gebruikers
Heeft cybercriminaliteit invloed op de prijzen van cryptocurrency? Onderzoekers ontdekken
Duizenden PS4's in beslag genomen in Oekraïne bij illegale cryptocurrency-mining
Heb je een tip? Neem veilig contact op via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Blockchain Security TV Data Management CXO Datacenters 