Trend Micro forskere har observeret en ny Monero cryptocurrency minedrift kampagne, der er målrettet Linux-servere. Kampagnen bruger genbruges og kendte sårbarheder - navnlig, en fejl, der er blevet lappet i fem år. Brugere bør bemærke, at kampagnen er aktiv i øjeblikket og løbende, påvirker de følgende områder - Japan, Taiwan, Indien, Porcelæn, og US.
Cryptocurrency Mining Attack Hits Linux-servere: detaljerne
Den kendte sårbarhed udnyttes i ondsindet kampagne er CVE-2013-2618:
Cross-site scripting (XSS) sårbarhed i editor.php i Network Weathermap før 0.97b muligt for fjernangribere at indsprøjte vilkårligt webskript eller HTML gennem MAP_TITLE parameteren.
Hvorfor er angribere udnytter netop denne gamle bug? Som det ses i sin officielle beskrivelse, det er et dateret fejl i kaktus Network Weathermap plug-in, som bruges af systemadministratorer til at visualisere netværksaktivitet.
Endvidere, Netværk WeatherMap har kun to offentligt indberettede fejl, og begge af dem er fra juni 2914. Det er muligt angriberne udnytter ikke blot af en sikkerhedsfejl, for hvilken en udnytte er let tilgængelige, men også af plaster forsinkelse, der opstår i organisationer, der bruger open source værktøj, Trend Micro forskere forklarede.
Mere om Miner Anvendes i denne kampagne
Den endelige nyttelast af operationen har vist sig at være en modificeret modificeret XMRig minearbejder. Det skal bemærkes, at XMRig er en legitim og open source XMR minearbejder som har flere opdaterede versioner, der understøtter både 32-bit og 64-bit Windows og Linux operativsystemer.
XMRig skal udføres sammen med en konfigurationsfil kaldet ’config.json’, eller med parametre, der angiver / kræver detaljer såsom algoritmen skal anvendes (CryptoNight / CryptoNight-Lite), maksimal CPU-forbrug, minedrift server, og login legitimationsoplysninger (Monero pung og adgangskode). Prøverne, der anvendes i dette angreb blev modificeret på en måde, der gør konfiguration eller parametre unødvendige. Alt er allerede indlejret i sin kode.
Forskerne indsamlede fem sandsynlige prøver, der førte dem til to unikke login brugernavne, matche de Monero tegnebøger, hvor minedrift pool betalinger bliver sendt.
Hidtil, angriberne har udvundet om 320 XMR eller ca. $74,677 baseret på de to tegnebøger forskerne observerede. Men, disse tal kun udgør en lille del af overskuddet for hele minedrift kampagne. Tidligere rapporter fra den samme kampagne viste et overskud på $3 millioner værd af XMR kommer fra en enkelt Monero tegnebog.
En anden minearbejder, der er en modificeret udgave af XMRig software er den såkaldte WaterMiner.
Den WaterMiner Monero minearbejder forbinder til en foruddefineret pulje ved at have specifikke anvisninger i sin konfigurationsfil.
En minedrift pulje er en centraliseret knudepunkt som tager en Monero blockchain blok og distribuerer den til de tilsluttede peers til forarbejdning. Når et bestemt antal aktier er returneret og verificeret af poolen en belønning i form af Monero cryptocurrency er kabelbaseret til den angivne tegnebog adresse.