HolesWarm Malware

Szkodliwe oprogramowanie HolesWarm to wieloplatformowe zagrożenie koparki kryptowalut, które w ciągu zaledwie kilku miesięcy zdołało przejąć kontrolę nad tysiącem hostów w chmurze. Wysoki wskaźnik powodzenia infekcji zagrożenia wynika z faktu, że może ono szybko zmienić metodę ataku. Do tej pory badacze zaobserwowali, że HolesWarm wykorzystuje ponad 20 różnych luk w zabezpieczeniach wielu komponentów serwerów biurowych, takich jak Apache Tomcat, Spring boot, Jenkins, Shiro, UFIDA, Weblogic, Structs2, XXL-JOB i Zhiyuan.

Po ustanowieniu w docelowym systemie HolesWarm przejmie dostępne zasoby i użyje ich do wydobywania monet Monero. Ponadto osoby atakujące mogą przejąć kontrolę nad zaatakowanym serwerem i zbierać informacje o hasłach.

Zdolność do modyfikowania zachowania zagrożenia i szybkiego przechodzenia przez tak wiele różnych metod ataku pokazuje, że osoba występująca w zagrożeniu ma wystarczającą wiedzę i umiejętności w zakresie oprogramowania. Jednocześnie brak ustalonych TTP (taktyk, technik i procedur) wskazuje, że grupa mogła powstać niedawno. Łatwość, z jaką zagrożenie zostało wykryte, również potwierdza ten wniosek.

Aby zmniejszyć ryzyko nielegalnego naruszenia, organizacje powinny zainstalować niezbędne aktualizacje na swoich serwerach. Konsekwencje pozostawienia znanych luk w zabezpieczeniach mogą być druzgocące i prowadzić do poważnych zakłóceń operacyjnych.