Trend Micro onderzoekers hebben een nieuwe Monero cryptogeld mijnbouw campagne die Linux-servers richt waargenomen. De campagne maakt gebruik van hergebruikt en bekende kwetsbaarheden - meer in het bijzonder, een fout die is gepatcht vijf jaar. Gebruikers moeten er rekening mee dat de campagne is momenteel actief en voortdurende, invloed zijn op de volgende regio's - Japan, Taiwan, India, China, en de U.S.
Cryptogeld Mining Attack Hits Linux-servers: de details
De bekende beveiligingslek misbruikt in de kwaadaardige campagne is CVE-2013-2618:
Cross-site scripting (XSS) kwetsbaarheid in editor.php in Netwerk Weathermap voordat 0.97b kunnen externe aanvallers willekeurige web script of HTML te injecteren via de parameter MAP_TITLE.
Waarom zijn aanvallers benutten van deze bijzondere oude bug? Zoals te zien in haar officiële beschrijving, het is een gedateerd fout in Cactussen's Network Weathermap plug-in, die wordt gebruikt door systeembeheerders om netwerkactiviteit visualiseren.
Bovendien, Network WeatherMap heeft slechts twee openbaar gemelde gebreken, en beiden zijn vanaf juni 2914. Het is mogelijk de aanvallers profiteren niet alleen een lek waarvoor een exploit is beschikbaar maar ook patch vertraging die optreedt in organisaties die de open source tool, Trend Micro onderzoekers toegelicht.
Meer over het Miner die in deze campagne
De uiteindelijke lading van de operatie is gebleken dat een gemodificeerd gemodificeerde XMRig mijnwerker. Opgemerkt dient te worden dat XMRig is een legitieme en open-source XMR mijnwerker die meerdere bijgewerkte versies die zowel 32-bits en 64-bits Windows en Linux-besturingssystemen ondersteunt heeft.
XMRig moeten samen worden uitgevoerd met een configuratie bestand genaamd ‘config.json’, of parameters die specificeren / vereisen details zoals het algoritme te gebruiken (CryptoNight / CryptoNight-Lite), maximale processorgebruik, mijnbouw server, en inloggegevens (Monero portemonnee en wachtwoord). De in deze aanval werden gemodificeerd op een wijze die de configuratie of parameters overbodig maakt. Alles is al ingebed in de code.
De onderzoekers verzamelde vijf vermoedelijke monsters die hen leidde tot twee unieke login gebruikersnamen, het afstemmen van de Monero portefeuilles waar de mijnbouw pool betalingen worden verzonden.
Zover, de aanvallers hebben gedolven over 320 XMR of bij benadering $74,677 gebaseerd op de twee portefeuilles de onderzoekers waargenomen. Echter, deze nummers vertegenwoordigen slechts een klein deel van de winst voor het gehele mijnbouw campagne. Eerdere rapporten van dezelfde campagne toonde een winst van $3 miljoen aan XMR afkomstig van een enkele Monero portemonnee.
Een andere mijnwerker, dat is een aangepaste versie van de XMRig software is de zogenaamde WaterMiner.
De WaterMiner Monero miner aangesloten op een vooraf bepaalde pool doordat specifieke instructies in het configuratiebestand.
Een mijnbouw pool is een centraal knooppunt dat een Monero blockchain draait blok en geeft dit door aan de aangesloten peers verwerking. Wanneer een bepaald aantal aandelen worden geretourneerd en gecontroleerd door het zwembad een beloning in de vorm van Monero cryptogeld is aangesloten op de aangewezen portemonnee adres.
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: