Новости Новый червь на базе Golang атакует серверы с целью майнинга Monero

Тема в разделе "Новости", создана пользователем Mr. Pickles, 28 янв 2021.

  1. Mr. Pickles

    Команда форума Модератор Редактор

    Регистрация:
    11 сен 2017
    Сообщения:
    858
    Симпатии:
    236
    1.jpg

    Исследователями фирмы Intezer, занимающейся вопросами безопасности, был обнаружен новый червь на базе Golang, атакующий серверы Windows и Linux и заражающий их вредоносным программным обеспечением (ПО) с целью дальнейшего майнинга криптовалюты под названием Monero.

    Как утверждают исследователи, червь, активность которого наблюдается на уязвимых серверах, начиная с декабря, как правило, пытается установить XMRig, вредоносную программу, которая всё более часто используется для майнинга таких криптовалют, как Monero (см. Kubeflow стал целью атаки XMRig для майнинга Monero). Червь атакует уязвимые, публичные сервисы, такие как MySQL, административную панель Tomcat и открытый сервер автоматизации Jenkins, использующие слабые пароли. Кроме того, его целью является уязвимость Oracle WebLogic, известная как CVE-2020-14882.

    Oracle и «Агентство по кибербезопасности и защите инфраструктуры США» ранее предупреждали пользователей WebLogic о необходимости использования соответствующих патчей для устранения уязвимости (см. CISA и Oracle предупреждают о наличии уязвимости у сервера WebLogic).

    «Когда мы проводили анализ, злоумышленники обновляли червя на сервере управления и контроля, что указало нам на то, что червь активен и в перспективе, после обновления, может быть нацелен и на иные сервисы со слабой конфигурацией», — отметила в своём отчёте Авигея Мехштингер.

    Как это работает

    Как правило, атака начинается с того, что червь пытается методом прямого перебора подобрать пароль и получить доступ к устройству. Как только у него это получится, он задействует три отдельных файла, чтобы продолжить атаку. Первым файлом является дроппер — либо скрипт Bash, либо PowerShell. Второй файл — двоичный червь Golang, а третий — майнер XMRig. Как определили исследователи, все они находятся на одном и том же сервере контроля и управления.

    Во время атаки червь проверяет, контролируется ли работа заражённой машины через порт 52013 целевого сервера. «Слушатель» этого порта будет функционировать как мьютекс — механизм синхронизации, определяющий ограничения по доступу в среде со множеством потоков выполнения. Со слов исследователей, если такой слушатель не будет обнаружен на порте, откроется сетевой сокет.

    Согласно отчёту, Linux-версия червя пока не появилась на платформе VirusTotal. «Тот факт, что код червя в случае с Windows и Linux практически идентичен, а вредоносная программа [выполняемый файл Linux] ещё не появился в VirusTotal, говорит о том, что угроза для Linux пока находится вне радаров большинства платформ, отвечающих за обнаружение таких угроз и безопасность», — утверждает Мехштингер.

    По мнению Кюна Кима, первого исполнительного директора и главы отдела по кибербезопасности в азиатско-тихоокеанском регионе компании FTI Consulting, чем больше злоумышленников использует язык программирования Golang, тем больше систем, помимо Windows, им удастся атаковать.

    «Golang популярен среди злоумышленников, поскольку он многовариантен и позволяет составлять всего одну кодовую базу для всех основных операционных систем, — сказал Ким. — Вместо того, чтобы атаковать конечных пользователей, вредоносное ПО, написанное на Golang, ориентировано на заражение серверов прикладных программ, фреймворков и веб-приложений. Отчасти поэтому оно может с такой лёгкостью проникать в системы, оставаясь необнаруженным».

    Атака на Linux

    Другие исследователи в области кибербезопасности отметили, что количество вредоносного ПО, особенно майнеров, целью которых является платформа Linux, растёт.

    В ноябре компанией Intezer была обнаружена обновлённая Linux-версия ботнета Stantinko, которая делала майнинг криптовалют и заражение компьютеров вредоносным ПО более эффективными (см. Ботнет Linux выдаёт себя за сервер Apache).

    Согласно информации, полученной от компании Barracuda Networks, ещё одним примером может служить ботнет InterPlanetary Storm, заражающий устройства, работающие под Windows, Linux, Mac и Android. Данный ботнет предназначен для майнинга криптовалюты, а также может быть использован для проведения DDoS атак (см. Ботнет InterPlanetary Storm заражает устройства Mac и Android).

    ---

    Источник: New Golang-Based Worm Targets Servers to Mine Monero

    Перевод:
    Mr. Pickles (@v1docq47)
    Редактирование:
    Agent LvM (@LvMi4)
    Коррекция:
    Kukima (@Kukima)
     
  • О нас

    Наш сайт является одним из уникальных мест, где русскоязычное сообщество Monero может свободно общаться на темы, связанные с этой криптовалютой. Мы стараемся публиковать полезные мануалы и статьи (как собственные, так и переводы с английского) о криптовалюте Monero. Если вы хорошо владеете английским (или можете писать собственные статьи/мануалы) и хотите помочь в переводах и общем развитии Monero для русскоязычной аудитории - свяжитесь с одним из администраторов.