i ricercatori Trend Micro hanno osservato una nuova campagna criptovaluta mineraria Monero che prende di mira i server Linux. La campagna utilizza riutilizzato e conosciuto vulnerabilità - particolare, un difetto che è stato patchato per cinque anni. Gli utenti dovrebbero notare che la campagna è attualmente attivo e continuo, che interessano le seguenti regioni - Giappone, Taiwan, India, Porcellana, e il U.S..
Criptovaluta Attacco Mining Hits server Linux: i dettagli
La vulnerabilità sfruttata noto nella campagna maligno è CVE-2013-2618:
Cross-site scripting (XSS) vulnerabilità in editor.php in rete weathermap prima 0.97b consente agli aggressori remoti di inserire lo script Web arbitrario o HTML tramite il parametro MAP_TITLE.
Perché sono attaccanti che sfruttano questo particolare vecchio bug? Come si è visto nella sua descrizione ufficiale, si tratta di un difetto datato in di Cactus rete weathermap plug-in, che viene utilizzato da amministratori di sistema per visualizzare l'attività di rete.
Inoltre, Weathermap Network ha solo due difetti segnalati pubblicamente, ed entrambi sono da giugno 2914. È possibile attaccanti sfruttano non solo di una falla di sicurezza che richiedono un exploit è prontamente disponibile, ma anche di lag patch che si verifica nelle organizzazioni che utilizzano lo strumento open-source, i ricercatori Trend Micro ha spiegato.
Maggiori informazioni sul Miner utilizzati in questa campagna
Il carico utile finale dell'operazione è stato trovato per essere un minatore XMRig modificato modificato. Va notato che XMRig è un XMR minatore legittima e open-source, che ha molteplici versioni aggiornate che supporta entrambi i sistemi operativi Windows e Linux a 32-bit e 64-bit.
XMRig deve essere eseguita con un file di configurazione chiamato ‘config.json’, o con i parametri che specificano / richiedono dettagli come l'algoritmo da utilizzare (CryptoNight / CryptoNight-Lite), utilizzo massimo della CPU, server di data mining, e credenziali di accesso (portafogli Monero e password). I campioni utilizzati in questo attacco sono stati modificati in modo da rendere la configurazione o parametri non necessari. Tutto è già incorporato nel suo codice.
I ricercatori hanno raccolto campioni di cinque probabili che li ha portati a due nomi utente d'accesso unici, corrispondenza dei portafogli Monero dove vengono inviati i pagamenti piscina mineraria.
Finora, gli aggressori hanno minato su 320 XMR o approssimativamente $74,677 sulla base dei due portafogli i ricercatori hanno osservato. Tuttavia, questi numeri rappresentano solo una piccola parte del profitto per l'intera campagna mineraria. Precedenti rapporti della stessa campagna ha mostrato un utile di $3 milioni di dollari di XMR proveniente da un singolo portafoglio Monero.
Un altro minatore che è una versione modificata del software XMRig è il cosiddetto WaterMiner.
Il minatore WaterMiner Monero si connette a un pool predefinito di avere istruzioni specifiche nel suo file di configurazione.
Un pool mining è un nodo centrale che prende un Monero blockchain blocco e lo distribuisce ai peer connessi alla trasformazione. Quando un determinato numero di azioni vengono restituiti e verificato presso la piscina una ricompensa sotto forma di Monero criptovaluta è cablata per l'indirizzo portafoglio designato.