Site icon Kiber.ba

Novi sofisticirani Linux maliciozni softver koji iskorištava Apache2 web servere

Novi sofisticirani Linux maliciozni softver koji iskorištava Apache2 web servere-Kiber.ba

Novi sofisticirani Linux maliciozni softver koji iskorištava Apache2 web servere-Kiber.ba

Iskorištavanje Apache2 web servera često uključuje ciljanje ranjivosti kao što su daljinsko izvršavanje koda (RCE) i propuste u prelasku putanje.

Budući da se Apache široko koristi, ovi eksploati predstavljaju značajan rizik za mnoge organizacije koje ne implementiraju pravovremena ažuriranja i sigurnosne mjere.

Elastic istraživači su nedavno identifikovali novi sofisticirani Linux maliciozni softver za koji je otkriveno da iskorištava Apache2 web servere.

Ova sofisticirana kampanja malicioznog softvera za Linux otkrivena je u martu 2024. i utvrđeno je da cilja ranjive servere putem “ Apache2 ” eksploatacije web servera. ⁤⁤

Linux maliciozni softver koji iskorištava Apache2 web servere

Napadači su rasporedili složen arsenal uključujući “KAIJI” (za DDoS napade), “RUDEDEVIL” ( rudar za kriptovalute ) i “prilagođeni malver”.

⁤⁤ Uspostavili su postojanost koristeći “GSOCKET”, to je alat koji se koristi za šifrovanu komunikaciju.

Ovdje da bi izbjegao otkrivanje, ovaj alat je maskiran kao „procesi kernela“.⁤ Kampanja je koristila C2 kanale, Telegram botove i cron poslove za udaljene operacije. ⁤⁤

Potencijalna shema rudarenja Bitcoin/XMR koja uključuje “API za kockanje” sugerisala je aktivnosti “pranja novca”.

Napadači su koristili različite tehnike specifične za Linux. I ovdje ispod, spomenuli smo te tehnike:-

Koristili su “pspy64” za izviđanje sistema i pokušali da implementiraju prilagođene binarne datoteke (‘apache2’ i ‘apache2v86’) sa stringovima koji su “XOR-kodirani”, iako su se oni suočili sa problemima u izvršavanju.

Sofisticiranost malicioznog softvera bila je očigledna u korištenju višestrukih mehanizama postojanosti kao što su “Systemd services”, “SysVinit skripte” i “bash profile modifikacije”.

Tokom kampanje, napadači su demonstrirali napredno znanje o Linux sistemima tako što su kontinuirano prilagođavali svoj maliciozni softver i taktike kako bi izbjegli otkrivanje, dok su maksimizirali iskorištavanje sistemskih resursa za “vađenje kriptovaluta” i “DDoS” operacije.

Hakeri započeli su svoju operaciju izviđanjem koristeći alate poput “whatserver.sh” za prikupljanje informacija o serveru poput “FQDN-ova” iz “SSL certifikata” i “detalja o sistemu”.

Nakon što nisu uspjeli eskalirati privilegije root-u, uspostavili su postojanost kao “www-data” korisnika, koristeći “GSOCKET” za “ SSL vezu ” prerušenu u “kernel proces” pod nazivom “[mm_percpu_wq]”.

Postavili su ‘cron posao’ za preuzimanje i izvršavanje skripte pod nazivom “ifindyou” svake minute.

Ova skripta je primenila „XMRIG“ koji se povezuje na neminable[.]com bazen za rudarenje Bitcoina za adresu novčanika „1CSUkd5FZMis5NDauKLDkcpvvgV1zrBCBz“.

Adresa novčanika (izvor – elastična)

Maliciozni softver je koristio ime hosta zaražene mašine kao identifikator u procesu rudarenja.

Osim toga, napadači su implementirali i “Python skriptu” koja je bila u interakciji sa “demo verzijom igre za kockanje na mreži”.

Ova skripta je uključivala funkcije za “autentifikaciju korisnika” (‘obteneruid’), “prenos podataka” (‘enviardatos’), “simulaciju klađenja” (‘hacerjugada’) i “rukovanje bonus rundama” (‘completarbono’).

Koristio je “HTTP POST” i “GET” zahtjeve za komunikaciju sa udaljenim serverom na gcp.pagaelrescate[.]com, jer to pomaže u automatizaciji procesa kockanja uz uključivanje kašnjenja za oponašanje ljudskog ponašanja.

Upotreba demo okruženja u skripti sugeriše da se vjerovatno koristila za testiranje ili usavršavanje njihovog pristupa, vjerovatno u pripremi za naprednije napade na platforme za kockanje uživo.

Izvor: CyberSecurityNews

Exit mobile version