Z0Miner

Z0Miner (zoMiner) botnet ser ud til at have opdateret sine truende tricks til nu at omfatte år gamle sårbarheder, der påvirker ikke-patched ElasticSearch og Jenkins-servere. Botnet blev opdaget sidste år af forskerne ved Qihoo 360 Netlab, cybersikkerhedsteamet fra Tencent, da det blev fanget i kompromis med over 5.000 servere ved at udnytte to Weblogic Ruth-sårbarheder, der blev sporet som CVE-2020-14882 og CVE-2020- 14883. Angriberne scannede batcher af Cloud-servere, og eventuelle egnede mål blev derefter inficeret gennem omhyggeligt udformede datapakker.

I de nye z0Miner-angreb er hackerne begyndt at søge efter sårbare ElasticSearch-servere gennem en RCE-udnyttelse (fjernudførelse af kode) sporet som CVE-2015-1427, mens en ældre RCE-udnyttelse bruges til at inficere Jenkins-servere. Efter at have brudt det målrettede system med succes, vil malware-truslen rydde miljøet fra enhver potentiel konkurrence ved at downloade en shell. Der oprettes et cron-job, der regelmæssigt henter og udfører beskadigede scripts fra Pastebin. Det sidste trin i angrebskæden ser leveringen af minedriftens nyttelast. Z0Miner kontakter tre forskellige URL'er og downloader en konfigurationsfil, et shell-script til start af crypto-miner og en variant af XMRig miner-scriptet.

De nuværende aktiviteter i botnet har allerede formået at generere cirka 22 XMR (Monero) mønter til hackerne, til en værdi af omkring $ 4800 til den nuværende valutakurs for kryptokurrency. Hackernes ulovlige overskud kunne dog være betydeligt højere, da det er summen, der er indeholdt i en signalpung, mens kryptominingskampagnen kan omfatte flere som en del af dens aktiviteter.