Z0Miner

Ботнет z0Miner (zoMiner), похоже, обновил свои угрожающие уловки, чтобы теперь включать в себя уязвимости летней давности, затрагивающие не исправленные серверы ElasticSearch и Jenkins. Ботнет был обнаружен в прошлом году исследователями из Qihoo 360 Netlab, группы кибербезопасности Tencent, когда он был пойман на компрометации более 5000 серверов с помощью двух уязвимостей Weblogic pre-auth RCE, отслеживаемых как CVE-2020-14882 и CVE-2020-14883. Злоумышленники просканировали пакеты облачных серверов, и все подходящие цели были затем заражены с помощью тщательно созданных пакетов данных.

В новых атаках z0Miner хакеры начали поиск уязвимых серверов ElasticSearch с помощью эксплойта RCE (удаленное выполнение кода), отслеживаемого как CVE-2015-1427, в то время как более старый эксплойт RCE используется для заражения серверов Jenkins. После успешного взлома этой целевой системы угроза вредоносного ПО очистит среду от любой потенциальной конкуренции, загрузив оболочку. Далее будет установлено задание cron, которое периодически извлекает и выполняет поврежденные сценарии из Pastebin. На последнем этапе цепочки атаки происходит доставка полезных данных для майнинга. Z0Miner связывается с тремя разными URL-адресами и загружает файл конфигурации, сценарий оболочки для запуска криптомайнера и вариант сценария майнера XMRig.

Текущая деятельность ботнета уже позволила сгенерировать около 22 монет XMR (Monero) для хакеров на сумму около 4800 долларов США по текущему обменному курсу криптовалюты. Однако незаконная прибыль хакеров может быть значительно выше, поскольку эта сумма содержится в сигнальном кошельке, в то время как кампания по майнингу криптовалюты может включать в себя несколько таких кошельков как часть своей деятельности.