El malware Z0Miner se propaga a través de servidores Elasticsearch y Jenkins sin parches
Una botnet de minería maliciosa descubierta el año pasado ha pasado a apuntar a servidores Jenkins y Elasticsearch sin parches para minar criptomonedas Monero (XMR).
Según los investigadores de seguridad del Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab), el equipo de seguridad de Tencent descubrió z0Miner el año pasado explotando la vulnerabilidad de ejecución de comando remoto no autorizado de WebLogic para su propagación. Los investigadores dijeron que varias familias de malware de minería se han vuelto más activas en medio del aumento en los valores de las criptomonedas.
Z0Miner golpeó el año pasado cuando Tencent Security rastreó el malware que explotaba dos errores RCE de autenticación previa de WebLogic rastreados como CVE-2020-14882 y CVE-2020-14883. En ese momento, el equipo de analistas de seguridad estimó que el minero comprometió alrededor de 5000 servidores al enviar "paquetes de datos cuidadosamente construidos" a los sistemas vulnerables. El malware también se movía lateralmente a través de SSH.
Antes de eso, Oracle ya había emitido un boletín de seguridad advirtiendo sobre vulnerabilidades en los componentes de WebLogic. En ese momento, la investigación de la empresa de seguridad cibernética Rapid7 dijo que la falla era "trivial de explotar".
Los investigadores dijeron que el malware ha cambiado desde entonces para buscar e infectar sistemas al explotar las vulnerabilidades de ejecución de comandos remotos en Elasticsearch y Jenkins.
El malware usa exploits dirigidos a una vulnerabilidad RCE de Elasticsearch, rastreada como CVE-2015-1427, y un RCE más antiguo que afecta el servidor Jenkins para comprometer un servidor. Luego descarga un script de shell malicioso para detener a los mineros competitivos. A continuación, configura un trabajo cron para descargar y ejecutar periódicamente scripts maliciosos en Pastebin. Los investigadores dijeron que estos scripts actualmente solo tienen un comando de salida, pero no pudieron descartar la posibilidad de que se agreguen más comandos maliciosos en el futuro.
Luego descarga y ejecuta su software de minería desde tres URL que contienen un archivo de configuración de minería, un minero XMRig y un script de shell de inicio de minero. Según los investigadores, hasta el momento se extrajeron más de 22 XMR valorados en $4600, pero los ciberdelincuentes suelen usar muchas billeteras, por lo que la cifra total podría ser mucho mayor.
Los investigadores recomendaron a los usuarios de Elasticsearch y Jenkins verificar sus instalaciones y actualizarlas para parchear estos exploits lo antes posible. También recomendaron que las organizaciones revisen Elasticsearch y Jenkins en busca de procesos y conexiones de red anormales y que supervisen y bloqueen direcciones IP y URL relevantes.
-
Inteligencia artificial y seguridad informática en la nube en los negocios
2018 ha sido un gran año para la inteligencia artificial (IA). Solo el gobierno del Reino Unido está financiando actualmente 70 proyectos nacionales con el objetivo de poner en circulación vehículos a
-
Seguro social:cómo funciona y por qué es importante
Cuando se trata del tema del Seguro Social, ¿se siente un poco confundido? Si es así, no estás solo. Las investigaciones han demostrado que la mayoría de las personas sobrestiman sus pagos del Seguro
Blockchain
- ¿Puede mi ex esposa cobrar el seguro social y la pensión alimenticia?
- Blockchain podría desempeñar un papel importante en la agricultura y la seguridad alimentaria del futuro
- Impacto de las IRA tradicionales y Roth en los beneficios del Seguro Social
- Definición de token de seguridad
- NFT y DeFi
- ¡Mmm! Marcas YUM Stock - Comida rápida y seguridad financiera
- Seguridad criptográfica:¿Qué es el criptojacking? ¿Cómo prevenirlo y defenderse?
- Criptomoneda:funcionalidades y medidas de seguridad para inversores
- Impuesto del Seguro Social:qué es y por qué es importante para usted
-
Hacker ético certificado y gerente de TI roba $ 575,000 en criptomonedas de una persona mayor Un hacker ético certificado y gerente de TI en ejercicio ha sido acusado de varios delitos después de robar una gran suma de criptomonedas de una persona mayor. Aaron Daniel Motta supuestamente robó ...
-
El malware 'Doki' ataca servidores Docker usando Dogecoin El malware que no ha sido detectado durante seis meses está explotando puertos API de Docker mal configurados para lanzar cargas maliciosas, mientras abusa de la cadena de bloques de criptomonedas Dog...