トレンドマイクロの研究者は、Linuxサーバーを対象とした新しいMonero暗号通貨マイニングキャンペーンを観察しました. キャンペーンでは、再利用された既知の脆弱性、特に, 5年間パッチが適用されている欠陥. ユーザーは、キャンペーンが現在アクティブで進行中であることに注意する必要があります, 以下の地域に影響を与える–日本, 台湾, インド, 中国, と米国.
暗号通貨マイニング攻撃がLinuxサーバーを襲う: 詳細
悪意のあるキャンペーンで悪用される既知の脆弱性は CVE-2013-2618:
クロスサイトスクリプティング (XSS) 0.97bより前のNetworkWeathermapのeditor.phpの脆弱性により、リモートの攻撃者がmap_titleパラメーターを介して任意のWebスクリプトまたはHTMLを挿入できます.
攻撃者がこの特定の古いバグを悪用するのはなぜですか? その公式の説明に見られるように, これは、CactiのNetworkWeathermapプラグインの古い欠陥です。, これは、システム管理者がネットワークアクティビティを視覚化するために使用します.
さらに, Network WeatherMapには、公に報告された2つの欠陥しかありません, どちらも6月からです 2914. 攻撃者は、エクスプロイトがすぐに利用できるセキュリティ上の欠陥だけでなく、オープンソースツールを使用する組織で発生するパッチラグも利用している可能性があります。, トレンドマイクロの研究者 説明.
このキャンペーンで使用された鉱夫についての詳細
操作の最終的なペイロードは、変更された変更されたXMRigマイナーであることが判明しました. XMRigは、32ビットと64ビットの両方のWindowsおよびLinuxオペレーティングシステムをサポートする複数の更新バージョンを備えた、正規のオープンソースXMRマイナーであることに注意してください。.
XMRigは、「config.json」という構成ファイルと一緒に実行する必要があります, または、使用するアルゴリズムなどの詳細を指定/要求するパラメータを使用する (CryptoNight / CryptoNight-Lite), 最大CPU使用率, マイニングサーバー, およびログイン資格情報 (Moneroウォレットとパスワード). この攻撃で使用されたサンプルは、構成またはパラメーターを不要にする方法で変更されました. すべてがすでにそのコードに埋め込まれています.
研究者は、2つの一意のログインユーザー名につながる5つの可能性のあるサンプルを収集しました, マイニングプールの支払いが送信されているMoneroウォレットと一致する.
ここのところ, 攻撃者は 320 XMRまたはおよそ $74,677 研究者が観察した2つの財布に基づいて. でも, これらの数値は、マイニングキャンペーン全体の利益のごく一部にすぎません。. 同じキャンペーンの以前のレポートは、 $3 1つのMoneroウォレットからの100万相当のXMR.
XMRigソフトウェアの修正バージョンである別のマイナーは、いわゆるWaterMinerです。.
WaterMiner Moneroマイナーは、構成ファイルに特定の指示を含めることにより、事前定義されたプールに接続します.
マイニングプールは、Moneroブロックチェーンブロックを取得し、接続されたピアに配布して処理する集中型ノードです。. 設定された数の株式が返され、プールによって検証されると、Monero暗号通貨の形式の報酬が指定されたウォレットアドレスに配線されます.
ミレーナ・ディミトロワ
プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする
フォローしてください: