[ad_1]

دستگاه های ویندوز و لینوکس توسط کرم جدید رمز ارز مورد حمله قرار می گیرند

گتی ایماژ

یک کرم گفت: یک کرم ارز رمزنگاری شده تازه کشف شده در حال هدفگیری از دستگاههای ویندوز و لینوکس با مجموعه ای از سوits استفاده ها و قابلیت های جدید است.

شرکت تحقیقاتی Juniper در ماه دسامبر شروع به نظارت بر آنچه بات نت Sysrv می نامد ، کرد. یکی از م componentلفه های مخرب botnet کرم است که بدون نیاز به اقدام کاربر از یک دستگاه آسیب پذیر به دستگاه دیگر گسترش می یابد. وی این کار را با اسکن اینترنت برای دستگاه های آسیب پذیر انجام داد و هنگامی که پیدا شد ، آنها را با استفاده از لیستی از سوits استفاده ها که به مرور رشد می کردند آلوده کرد.

این بدافزار همچنین شامل یک استخراج رمزنگاری است که از دستگاه های آلوده برای ایجاد ارز دیجیتال Monero استفاده می کند. برای هر جز یک باینری جداگانه وجود دارد.

یک زرادخانه همیشه در حال رشد

تا ماه مارس ، توسعه دهندگان Sysrv مجدداً بدافزار را دوباره کار کردند تا کرم و ماینر را به یک باینری ترکیب کنند. آنها همچنین به اسکریپت ، که بدافزار را بارگیری می کند ، امکان افزودن کلیدهای SSH را دادند ، به احتمال زیاد به عنوان راهی برای توانایی بهتر در زنده ماندن از راه اندازی مجدد و داشتن قابلیت های پیچیده تر. این کرم از شش آسیب پذیری در نرم افزارها و چارچوب های مورد استفاده در شرکت ها استفاده می کند ، از جمله Mongo Express ، XXL-Job ، XML-RPC ، Saltstack ، ThinkPHP و Drupal Ajax.

پل کیمایونگ ، محقق جونیپر ، روز پنجشنبه در یک پست وبلاگی گفت: “بر اساس باینری هایی که ما دیده ایم و زمانی که آنها را دیده ایم ، متوجه شده ایم که بازیگر تهدید به طور مداوم زرادخانه بهره برداری خود را به روز می کند.”

تحقیقات ارس

بیش از ده مورد سو explo استفاده که توسط بدافزار مورد حمله قرار گرفته اند در پست روز پنجشنبه ذکر شده است. آن ها هستند:

بهره برداری نرم افزار
CVE-2021-3129 لاراول
CVE-2020-14882 اوراکل وبلاگ
CVE-2019-3396 ماکرو Widget Connector در سرور Atlassian Confluence
CVE-2019-10758 Mongo Express
CVE-2019-0193 Apache Solr
CVE-2017-9841 PHP واحد
CVE-2017-12149 سرور برنامه Jboss
CVE-2017-11610 سرپرست (XML-RPC)
با استفاده از YARN ResourceManager (بدون CVE) یک دستور Apache Hadoop تأیید نشده را اجرا کنید آپاچی هادوپ
نیروی وحشی جنکینز جنکینز
دستورات Jupyter Notebook را اجرا کنید (بدون CVE) سرور نوت بوک Jupyter
CVE-2019-7238 Sonatype Nexus Repository Manager
اجرای فرمان Tomcat Manager بارگذاری سهوی (بدون CVE) مدیر تامکت
وردپرس Bruteforce وردپرس

سو explo استفاده از تحقیقات Juniper قبلاً مشاهده کرده بود که بدافزار از این موارد استفاده می کند:

  • Mongo Express RCE (CVE-2019-10758)
  • XXL-JOB Unauth RCE
  • XML-RPC (CVE-2017-11610)
  • CVE-2020-16846 (Saltstack RCE)
  • ThinkPHP RCE
  • CVE-2018-7600 (دروپال آژاکس RCE)

وارد شوید ، آب عالی است

توسعه دهندگان همچنین پیوست دستگاه های آلوده به استخرهای استخراج را تغییر داده اند. Miner یک نسخه منبع باز از XMRig است که در حال حاضر برای استخرهای حفاری زیر استخراج می شود:

  • Xmr-eu1.nanopool.org:14:1444
  • f2pool.com: 13531
  • minexmr.com:5555

استخر استخراج گروهی از استخراج کنندگان ارزهای رمزنگاری شده است که منابع محاسباتی خود را برای کاهش نوسانات بازگشت خود و افزایش شانس یافتن مجموعه ای از معاملات با یکدیگر ترکیب می کنند. طبق سایت مقایسه سودآوری استخر PoolWatch.io ، استخرهای مورد استفاده Sysrv سه مورد از چهار استخر حفاری برتر مونرو هستند.

کیمایونگ نوشت: “با هم ترکیب شده ، تقریباً 50٪ از شبکه هش را دارند.” “به نظر می رسد معیارهای این بازیگر برای تهدید بهترین استخرهای حفر با نرخ دستمزد بالا است.”

تحقیقات ارس

سود استخراج به آدرس نمونه کارها زیر واریز می شود:

49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa

Nanopool نشان می دهد که نمونه کارها از 1 تا 28 مارس 8 XMR به ارزش حدود 1700 دلار آمریکا برنده شده اند. او هر دو روز حدود 1 XMR اضافه می کند.

تحقیقات ارس

تهدید به ویندوز و لینوکس

Sysrv binary یک باینری Go 64 بیتی است که همراه با یک بسته UPX منبع باز ارائه می شود. نسخه هایی برای ویندوز و لینوکس وجود دارد. طبق ویروس توتال ، دو باینری ویندوز به طور تصادفی انتخاب شده توسط 33 و 48 مورد از 70 سرویس برتر محافظت در برابر بدافزار یافت شد. دو باینری لینوکس که به طور تصادفی انتخاب شده اند ، شش و نه داشتند.

تهدید این بات نت فقط فشار بر منابع محاسباتی و تخلیه غیر بی اهمیت برق نیست. نرم افزارهای مخربی که توانایی اجرای یک استخراج کننده رمزنگاری را دارند تقریباً به طور قطع می توانند باج افزار و سایر محصولات مخرب را نیز نصب کنند. وبلاگ پنجشنبه شامل ده ها معیار است که مدیران می توانند با استفاده از آنها آلوده به دستگاه هایی را که مدیریت می کنند ، ببینند.

[ad_2]

منبع: tarjome-news.ir