Z0Miner

Het z0Miner (zoMiner) botnet lijkt zijn bedreigende trucs te hebben bijgewerkt om nu jaren oude kwetsbaarheden op te nemen die niet-gepatchte ElasticSearch- en Jenkins-servers treffen. Het botnet werd vorig jaar ontdekt door de onderzoekers van Qihoo 360 Netlab, het cyberbeveiligingsteam van Tencent, toen het werd betrapt op het compromitteren van meer dan 5.000 servers door misbruik te maken van twee Weblogic pre-auth RCE-kwetsbaarheden die werden gevolgd als CVE-2020-14882 en CVE-2020-14883 De aanvallers hebben batches van Cloud-servers gescand en alle geschikte doelen werden vervolgens geïnfecteerd via zorgvuldig vervaardigde datapakketten.

In de nieuwe z0Miner-aanvallen zijn de hackers begonnen met het zoeken naar kwetsbare ElasticSearch-servers via een RCE-exploit (uitvoering van externe code) die wordt gevolgd als CVE-2015-1427, terwijl een oudere RCE-exploit wordt gebruikt om Jenkins-servers te infecteren. Nadat het beoogde systeem met succes is geschonden, zal de malwarebedreiging de omgeving vrijwaren van mogelijke concurrentie door een shell te downloaden. Vervolgens wordt een cron-taak ingesteld die regelmatig beschadigde scripts van Pastebin ophaalt en uitvoert. De laatste stap van de aanvalsketen is de levering van de mijnbouwpayload. Z0Miner neemt contact op met drie verschillende URL's en downloadt een configuratiebestand, een shellscript om de crypto-miner te starten en een variant van het XMRig-minerscript .

De huidige activiteiten van het botnet zijn er al in geslaagd om ongeveer 22 XMR (Monero) -munten voor de hackers te genereren, ter waarde van ongeveer $ 4800 tegen de huidige wisselkoers van de cryptocurrency. De ongeoorloofde winsten van de hackers zouden echter aanzienlijk hoger kunnen zijn, aangezien dat de som is die in een signaalportefeuille zit, terwijl de cryptomining-campagne er meerdere kan omvatten als onderdeel van zijn activiteiten.

Trending

Meest bekeken

Bezig met laden...