Z0Miner

La botnet z0Miner (zoMiner) sembra aver aggiornato i suoi trucchi minacciosi per includere ora vulnerabilità vecchie di anni che interessano i server ElasticSearch e Jenkins senza patch. La botnet è stata scoperta lo scorso anno dai ricercatori di Qihoo 360 Netlab, il team di sicurezza informatica di Tencent, quando è stata sorpresa a compromettere oltre 5.000 server sfruttando due vulnerabilità RCE pre-autorizzazione di Weblogic monitorate come CVE-2020-14882 e CVE-2020- 14883 Gli aggressori hanno scansionato batch di server cloud e qualsiasi obiettivo adatto è stato quindi infettato tramite pacchetti di dati accuratamente predisposti.

Nei nuovi attacchi z0Miner, gli hacker hanno iniziato a cercare i server ElasticSearch vulnerabili attraverso un exploit RCE (esecuzione di codice remoto) tracciato come CVE-2015-1427 mentre un vecchio exploit RCE viene utilizzato per infettare i server Jenkins. Dopo aver violato con successo quel sistema mirato, la minaccia malware eliminerà l'ambiente da qualsiasi potenziale concorrenza scaricando una shell. Next, verrà stabilito un cron job che periodicamente recupera ed esegue script danneggiati da Pastebin. Il passaggio finale della catena di attacco prevede la consegna del payload di mining. Z0Miner contatta tre diversi URL e scarica un file di configurazione, uno script di shell per avviare il crypto-miner e una variante dello script XMRig miner.

Le attuali attività della botnet sono già riuscite a generare circa 22 XMR (Monero) per gli hacker, del valore di circa $ 4800 al tasso di cambio attuale della criptovaluta. I profitti illeciti degli hacker potrebbero tuttavia essere significativamente più alti, in quanto si tratta della somma contenuta in un signal wallet mentre la campagna di crypto-mining può includerne più come parte delle sue attività.