Πρόσφατα ανακαλύφθηκε ένα νέο Golang-based worm, που εξαπλώνεται και εγκαθιστά XMRig cryptocurrency miners σε Windows και Linux servers, τουλάχιστον από τις αρχές Δεκεμβρίου. Σύμφωνα με την ερευνήτρια ασφαλείας της Intezer, Avigayil Mechtinger, αυτό το multi-platform worm στοχεύει υπηρεσίες, όπως MySQL, Tomcat και Jenkins που έχουν αδύναμους κωδικούς πρόσβασης.
Από τη στιγμή που ανακαλύφθηκε μέχρι τώρα, οι επιτιθέμενοι έχουν εξελίξει τις δυνατότητες του worm στον command-and-control (C2) server, το οποίο σημαίνει ότι πρόκειται για ένα ενεργό malware.
Ο C2 server χρησιμοποιείται για να φιλοξενήσει το bash ή PowerShell dropper script (ανάλογα με τη στοχευμένη πλατφόρμα), ένα Golang-based binary worm και το XMRig miner που αναπτύσσεται για την κρυφή εξόρυξη Monero από μολυσμένες Windows και Linux συσκευές.
“Το ELF worm binary και το bash dropper script δεν εντοπίζονται από το VirusTotal ακόμα“, δήλωσε η Mechtinger.
Brute-forcing και εκμετάλλευση εκτεθειμένων servers
Σύμφωνα με την ερευνήτρια, το worm καταφέρνει να εξαπλώνεται σε άλλους υπολογιστές κάνοντας σάρωση και brute-forcing σε υπηρεσίες MySql, Tomcat και Jenkins, χρησιμοποιώντας την τεχνική του password spraying και μια λίστα με hardcoded credentials.
Παλαιότερες εκδόσεις του worm προσπαθούσαν να εκμεταλλευτούν την CVE-2020-14882 Oracle WebLogic RCE ευπάθεια.
Μόλις καταφέρει να παραβιάσει έναν από τους στοχευμένους διακομιστές, το worm αναπτύσσει το loader script (ld.sh για Linux και ld.ps1 για Windows), το οποίο εγκαθιστά τόσο το XMRig miner όσο και το Golang-based worm binary.
Το κακόβουλο λογισμικό αυτοκαταστρέφεται αν εντοπίσει ότι τα μολυσμένα συστήματα χρησιμοποιούν τη θύρα 52013. Εάν η θύρα δεν χρησιμοποιείται, το worm θα ανοίξει το δικό του network socket.
Η ερευνήτρια τόνισε ότι οι απειλές που στοχεύουν Linux συστήματα περνούν συχνά απαρατήρητες και αυτό επιβεβαιώνεται και σε αυτή την περίπτωση: “Το γεγονός ότι ο κώδικας του worm είναι σχεδόν πανομοιότυπος τόσο για το PE όσο και για το ELF malware, καθώς και το ότι το ELF malware δεν εντοπίζεται στο VirusTotal, δείχνει ότι οι απειλές σε Linux εξακολουθούν να βρίσκονται κάτω από το ραντάρ των περισσότερων πλατφορμών ασφάλειας και ανίχνευσης“.
Πώς να προστατευτείτε από τις brute force επιθέσεις αυτού του worm;
Αν θέλετε να προστατεύσετε τους Windows και Linux servers σας από αυτό το worm, θα πρέπει να περιορίσετε τις συνδέσεις και να χρησιμοποιήσετε ισχυρούς και μοναδικούς κωδικούς πρόσβασης σε όλες τις υπηρεσίες που εκτίθενται στο Διαδίκτυο. Επιπλέον, είναι απαραίτητη η εφαρμογή του ελέγχου ταυτότητας δύο παραγόντων.
Τέλος, η τακτική ενημέρωση του λογισμικού και όλων των συστημάτων σας και η εξασφάλιση ότι οι διακομιστές σας δεν είναι προσβάσιμοι μέσω του Διαδικτύου, βοηθούν πολύ στην αποφυγή μιας τέτοιας επίθεσης.