Z0Miner

O botnet z0Miner (zoMiner) parece ter atualizado seus truques ameaçadores para incluir vulnerabilidades de anos que afetam os servidores ElasticSearch e Jenkins não corrigidos. O botnet foi descoberto no ano passado pelos pesquisadores da Qihoo 360 Netlab, a equipe de segurança cibernética da Tencent, quando foi pego comprometendo mais de 5.000 servidores ao explorar duas vulnerabilidades RCE de pré-autenticação do Weblogic rastreadas como CVE-2020-14882 e CVE-2020- 14883 Os invasores verificaram lotes de servidores em Nuvem e todos os alvos adequados foram infectados por meio de pacotes de dados cuidadosamente elaborados.

Nos novos ataques do z0Miner, os hackers começaram a procurar servidores ElasticSearch vulneráveis por meio de uma exploração RCE (execução remota de código) rastreada como CVE-2015-1427, enquanto uma exploração RCE mais antiga é usada para infectar servidores Jenkins. Depois de violar o sistema visado com sucesso, a ameaça de malware limpará o ambiente de qualquer competição potencial baixando um shell. Em seguida, um cron job que busca e executa periodicamente scripts corrompidos do Pastebin será estabelecido. A etapa final da cadeia de ataque é a entrega da carga útil de mineração. Z0Miner contata três URLs diferentes e baixa um arquivo de configuração, um script de shell para iniciar o cripto-minerador e uma variante do script de minerador XMRig.

As atividades atuais do botnet já conseguiram gerar cerca de 22 moedas XMR (Monero) para os hackers, no valor de cerca de US $4800 pela taxa de câmbio atual da criptomoeda. Os lucros ilícitos dos hackers podem ser significativamente maiores, pois essa é a soma contida em uma carteira de sinais, enquanto a campanha de criptografia de mineração pode incluir vários outros como parte de suas atividades.