Nieuwe worm verandert Windows- en Linux-servers in Monero-miners

Published on 2 January 2021 at 14:30

Een nieuw ontdekte en zichzelf verspreidende Golang-gebaseerde malware heeft sinds begin december actief XMRig cryptocurrency-mijnwerkers op Windows- en Linux-servers gedropt.

Deze multi-platform malware heeft ook wormcapaciteiten waarmee het zich naar andere systemen kan verspreiden door openbare diensten (zoals MySQL, Tomcat, Jenkins en WebLogic) met zwakke wachtwoorden te brute-forceren, zoals onthuld door Intezer-beveiligingsonderzoeker Avigayil Mechtinger.


De aanvallers achter deze campagne hebben de mogelijkheden van de worm actief bijgewerkt via de command-and-control-server (C2) sinds deze voor het eerst werd opgemerkt, wat duidt op actief onderhouden malware.


De C2-server wordt gebruikt om het bash- of PowerShell-dropper-script te hosten (afhankelijk van het beoogde platform), een op Golang gebaseerde binaire worm en de XMRig-mijnwerker die wordt ingezet om heimelijk te minen naar niet-traceerbare Monero-cryptocurrency op geïnfecteerde apparaten.

 

"Het ELF-worm-binaire bestand en het bash-dropper-script zijn op het moment van deze publicatie beide volledig niet gedetecteerd in VirusTotal," zei Mechtinger.

 

VT-worm binaire detectie
ELF-worm niet gedetecteerd in VirusTotal (Intezer)
Brute-forcing en exploitatie van blootgestelde servers

 

De worm verspreidt zich naar andere computers door te scannen naar MySql-, Tomcat- en Jenkins-services en deze op brute wijze te forceren met behulp van wachtwoordspray en een lijst met hardgecodeerde inloggegevens.

 

Oudere versies van de worm probeerden ook misbruik te maken van de CVE-2020-14882 Oracle WebLogic-kwetsbaarheid voor het uitvoeren van externe code.

 

Zodra het erin slaagt een van de beoogde servers te compromitteren, zal het het loader-script (ld.sh voor Linux en ld.ps1 voor Windows) inzetten dat zowel de XMRig-mijnwerker als de op Golang gebaseerde worm-binaire code laat vallen.

 

De malware zal zichzelf automatisch doden als het detecteert dat de geïnfecteerde systemen luisteren op poort 52013. Als de poort niet in gebruik is, zal de worm zijn eigen netwerksocket openen.

 

Windows dropper-script
Windows dropper-script (Intezer)
"Het feit dat de code van de worm bijna identiek is voor zowel zijn PE- als ELF-malware - en de ELF-malware die niet wordt gedetecteerd in VirusTotal - toont aan dat Linux-bedreigingen nog steeds onder de radar vliegen voor de meeste beveiligings- en detectieplatforms," ​​voegde Mechtinger toe.

 

Om je te verdedigen tegen brute force-aanvallen die door deze nieuwe multi-platform worm worden gelanceerd, moet je het aantal aanmeldingen beperken en moeilijk te raden wachtwoorden gebruiken op alle op het internet blootgestelde services, evenals tweefactorauthenticatie waar mogelijk.

 

Uw software altijd up-to-date houden en ervoor zorgen dat uw servers niet via internet bereikbaar zijn, tenzij absoluut noodzakelijk andere manieren zijn om u tegen deze nieuwe malwarebedreiging te beschermen.


«   »

Add comment

Comments

There are no comments yet.