黑客利用 Apache HTTP 服务器漏洞,部署 Linuxsys 加密货币挖矿程序
- 浏览次数 700
- 喜欢 0
HackerNews 编译,转载请注明出处:
网络安全研究人员发现了一场新的攻击活动,该活动利用Apache HTTP Server的已知安全漏洞传播名为Linuxsys的加密货币挖矿程序。
该漏洞编号为CVE-2021-41773(CVSS评分:7.5),是Apache HTTP Server 2.4.49版本中的一个高危路径遍历漏洞,可能导致远程代码执行。
“攻击者利用被攻陷的合法网站分发恶意软件,实现隐蔽投递并规避检测。”网络安全公司VulnCheck在分享给The Hacker News的报告中表示。
本月观察到的感染流程(源自印度尼西亚IP地址 103.193.177[.]152)旨在使用curl或wget从“repositorylinux[.]org”下载下一阶段有效载荷。该载荷是一个Shell脚本,负责从五个不同的合法网站下载Linuxsys加密货币挖矿程序,这表明攻击活动的幕后黑手可能已成功攻陷第三方基础设施以促进恶意软件分发。
“这种方法很巧妙,因为受害者连接的是拥有有效SSL证书的合法主机,降低了检测的可能性,”VulnCheck指出,“此外,这为下载站点(‘repositorylinux[.]org’)提供了一层隔离,因为恶意软件本身并不托管在那里。”
这些被攻陷的网站还托管着另一个名为“cron.sh”的Shell脚本,该脚本确保挖矿程序在系统重启时自动启动。该网络安全公司表示,还在被攻陷的网站上发现了两个Windows可执行文件,表明攻击者可能也在针对微软的桌面操作系统。
值得注意的是,此前传播Linuxsys挖矿程序的攻击曾利用过OSGeo GeoServer GeoTools中的一个严重安全漏洞(CVE-2024-36401,CVSS评分:9.8),Fortinet FortiGuard Labs在2024年9月记录了这一情况。
有趣的是,漏洞被利用后下载的Shell脚本是从“repositorylinux[.]com”获取的,其源代码中的注释使用的是印度尼西亚巽他语。该脚本早在2021年12月就已在野外被发现。
近年来被利用来传播此挖矿程序的其他漏洞还包括:
- CVE-2023-22527:Atlassian Confluence Data Center 和 Confluence Server 中的模板注入漏洞
- CVE-2023-34960:Chamilo学习管理系统(LMS)中的命令注入漏洞
- CVE-2023-38646:Metabase中的命令注入漏洞
- CVE-2024-0012 和 CVE-2024-9474:Palo Alto Networks防火墙中的认证绕过和权限提升漏洞
“所有这些都表明攻击者正在进行一项长期活动,采用一致的技术手段,例如n-day(已知漏洞)利用、在已攻陷主机上托管内容以及在受害者机器上进行挖矿,”VulnCheck表示,“他们的部分成功源于精心的目标选择。他们似乎避开了低交互蜜罐,需要高交互环境才能观察到其活动。结合使用被攻陷主机进行恶意软件分发,这种方法在很大程度上帮助攻击者避免了审查。”
Exchange服务器遭GhostContainer后门攻击
与此同时,卡巴斯基披露了一场针对亚洲政府实体的攻击活动细节。攻击者很可能利用了微软Exchange Server中一个N-day安全漏洞来部署一个名为GhostContainer的定制后门。怀疑攻击可能利用了Exchange Server中一个现已修复的远程代码执行漏洞(CVE-2020-0688,CVSS评分:8.8)。
这个“复杂的多功能后门”可以“通过下载额外模块动态扩展任意功能”,该俄罗斯公司表示,并补充说“该后门使攻击者能够完全控制Exchange服务器,允许他们执行一系列恶意活动。”
该恶意软件能够解析可执行shellcode的指令、下载文件、读取或删除文件、运行任意命令以及加载额外的.NET字节码。它还包含一个网络代理和隧道模块。
怀疑该活动可能是针对亚洲高科技公司等高价值组织的高级持续性威胁(APT)活动的一部分。
关于攻击者身份的信息不多,但他们被评估为技术高度娴熟,原因在于其对微软Exchange Server的深入理解以及将公开代码转化为高级间谍工具的能力。
“GhostContainer后门不会连接任何[命令与控制]基础设施,”卡巴斯基表示,“相反,攻击者从外部连接到被攻陷的服务器,他们的控制命令隐藏在正常的Exchange Web请求中。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文