Los investigadores de seguridad cibernética han descubierto una nueva campaña que explota una descompostura de seguridad conocida que impacta el servidor apache http para entregar un minero de criptomonedas llamado Linuxsys.
La vulnerabilidad en cuestión es CVE-2021-41773 (puntuación CVSS: 7.5), una vulnerabilidad de transversal de ruta de adhesión severidad en la traducción 2.4.49 del servidor Apache HTTP que podría dar lado a la ejecución de código remoto.
“El atacante aprovecha los sitios web legítimos comprometidos para distribuir malware, lo que permite la entrega sigilosa y la entretenimiento de la detección”, dijo Vulncheck en un noticia compartido con Hacker News.
La secuencia de infección, observada a principios de este mes y que se origina en una dirección IP de Indonesia 103.193.177 (.) 152, está diseñada para eliminar una carga útil de la próxima etapa de “RepositoryLinux (.) Org” usando curl o wget.
La carga útil es un script de shell responsable de descargar el minero de criptomonedas de Linuxsys de cinco sitios web legítimos diferentes, lo que sugiere que los actores de amenaza detrás de la campaña han acabado comprometer la infraestructura de terceros para proporcionar la distribución del malware.
“Este enfoque es inteligente porque las víctimas se conectan a hosts legítimos con certificados SSL válidos, lo que hace que la detección sea menos probable”, señaló Vulncheck. “Adicionalmente, proporciona una capa de separación para el sitio de descarga (‘RepositoryLinux (.) Org’) ya que el malware en sí no está alojado allí”.
Los sitios asimismo alojan otro script de shell llamado “cron.sh” que asegura que el minero se inicie automáticamente en un reinicio del sistema. La firma de ciberseguridad dijo que asimismo identificó dos ejecutables de Windows en los sitios pirateados, lo que plantea la posibilidad de que los atacantes asimismo persigan el sistema activo de escritorio de Microsoft.
Vale la pena señalar que los ataques que distribuyen el minero de Linuxsys han explotado previamente un defecto de seguridad crítico en Osgeo Geoserver Geotools (CVE-2024-36401, puntaje CVSS: 9.8), según lo documentado por Fortinet Fortiguard Labs en septiembre de 2024.
Curiosamente, el script de Shell se redujo posteriormente de la explotación de la descompostura se descargó de “RepositoryLinux (.) Com”, con comentarios en el código fuente escrito en Sundanese, un idioma indonesio. El mismo script de shell se ha detectado en la naturaleza desde diciembre de 2021.
Algunas de las otras vulnerabilidades explotadas para entregar el minero en los últimos abriles incluyen –
- CVE-2023-22527, una vulnerabilidad de inyección de plantilla en Atlassian Confluence Data Center y Confluence Server
- CVE-2023-34960, una vulnerabilidad de inyección de comandos en Chamilo Learning Management Systems (LMS)
- CVE-2023-38646, una vulnerabilidad de inyección de comando en Metabase
- CVE-2024-0012 y CVE-2024-9474, son vulnerabilidades de ascenso de autenticación y privilegios en firewalls de Palo Stop Networks
“Todo esto indica que el atacante ha estado llevando a promontorio una campaña a grande plazo, empleando técnicas consistentes como la explotación de N-Day, el contenido de ordenamiento en hosts comprometidos y minería de monedas en máquinas víctimas”, dijo Vulncheck.
“Parte de su éxito proviene de una orientación cuidadosa. Parecen evitar los honeypots de desvaloración interacción y requieren una adhesión interacción para observar su actividad. Combinado con el uso de hosts comprometidos para la distribución de malware, este enfoque ha ayudado en gran medida al atacante a evitar el exploración”.
Servidores de intercambio dirigidos por GhostContainer Backdoor
El ampliación se produce cuando Kaspersky reveló los detalles de una campaña que se dirige a entidades gubernamentales en Asia, probablemente con una descompostura de seguridad de N-Day en Microsoft Exchange Server, para implementar una puerta trasera a medida doblada Ghostcontainer. Se sospecha que los ataques pueden ocurrir explotado un error de ejecución de código remoto ahora parchado en Exchange Server (CVE-2020-0688, puntaje CVSS: 8.8).
La “puerta trasera sofisticada y multifuncional” puede “ocupar dinámicamente con la funcionalidad arbitraria a través de la descarga de módulos adicionales”, dijo la compañía rusa, y agregó “la puerta trasera otorga a los atacantes el control total sobre el servidor de Exchange, lo que les permite ejecutar un rango de actividades maliciosas”.
El malware está equipado para analizar las instrucciones que pueden ejecutar shellcode, descargar archivos, acertar o eliminar archivos, ejecutar comandos arbitrarios y cargar código .NET BYTE adicional. Igualmente incorpora un proxy web y un módulo de túnel.
Se sospecha que la actividad puede ocurrir sido parte de una campaña vanguardia de amenaza persistente (APT) dirigida a organizaciones de parada valencia, incluidas las empresas de adhesión tecnología, en Asia.
No se sabe mucho sobre quién está detrás de los ataques, aunque se evalúa que son en extremo calificados oportuno a su comprensión profunda del servidor de Microsoft Exchange y su capacidad para trocar el código arreglado en sabido en herramientas de espionaje avanzadas.
“La puerta trasera GhostContainer no establece una conexión con ninguna infraestructura (de comando y control)”, dijo Kaspersky. “En cambio, el atacante se conecta al servidor comprometido desde el foráneo, y sus comandos de control están ocultos en el interior de las solicitudes web de intercambio normales”.
