HolesWarm Malware

De HolesWarm-malware is een platformonafhankelijke cryptominer-bedreiging die in slechts een paar maanden tijd meer dan duizend cloudhosts heeft gehackt. Het hoge succespercentage van de infectie van de dreiging is gebaseerd op het feit dat het zijn aanvalsmethode snel kan veranderen. Tot nu toe hebben onderzoekers HolesWarm waargenomen die gebruikmaakt van meer dan 20 verschillende kwetsbaarheden in tal van kantoorservercomponenten zoals Apache Tomcat, Spring boot, Jenkins, Shiro, UFIDA, Weblogic, Structs2, XXL-JOB en Zhiyuan.

Eenmaal gevestigd op het beoogde systeem, zal HolesWarm de beschikbare bronnen kapen en gebruiken om Monero-munten te delven. Bovendien kunnen de aanvallers controle krijgen over de gecompromitteerde server en wachtwoordinformatie verzamelen.

Het vermogen om het gedrag van de dreiging aan te passen en zo veel verschillende aanvalsmethoden snel te doorlopen, toont aan dat de dreigingsactor over voldoende kennis en softwarevaardigheden beschikt. Tegelijkertijd wijst het ontbreken van gevestigde TTP's (Tactics, Techniques en Procedures) erop dat de groep mogelijk recentelijk is gevormd. Ook het gemak waarmee de dreiging werd gedetecteerd ondersteunt deze conclusie.

Om de kans op een ongeoorloofde inbreuk te verkleinen, moeten organisaties de nodige updates op hun servers installeren. De gevolgen van het ongepatcht laten van bekende kwetsbaarheden kunnen verwoestend zijn en leiden tot ernstige operationele verstoringen.