Diario Informe

La botnet z0Miner busca servidores ElasticSearch y Jenkins sin parches

La botnet z0Miner atrapa a ElasticSearch, servidor Jenkins sin parches

Una botnet de criptominería detectada el año pasado ahora apunta e intenta tomar el control de los servidores Jenkins y ElasticSearch para extraer la criptomoneda Monero (XMR).

z0Miner es una cepa de malware de criptominería detectada en noviembre por el equipo de seguridad de Tencent, que vio que infectaba miles de servidores al explotar una vulnerabilidad de seguridad de Weblogic.

Ahora, los atacantes han actualizado el malware para buscar e intentar infectar nuevos dispositivos aprovechando las vulnerabilidades de ejecución remota de comandos (RCE) que afectan a los servidores ElasticSearch y Jenkins.

Índice de contenidos
  1. La analítica del servidor no se actualizó durante años
  2. Miles de dispositivos ya comprometidos

La analítica del servidor no se actualizó durante años

De acuerdo a un relación Publicado por investigadores del Laboratorio de Investigación de Seguridad de Redes de Qihoo 360 (360 Netlab), z0Miner ahora está buscando servidores sin parches contra las vulnerabilidades que enfrentó en 2015 y antes.

La botnet utiliza exploits dirigidos a una vulnerabilidad de ElasticSearch RCE supervisada, como CVE-2015-1427, y una antigua RCE que afecta a los servidores de Jenkins.

Después de comprometer un servidor, el malware primero descargará un script de shell malicioso, comenzará a buscar y eliminar criptomineros previamente implementados.

A continuación, configure una nueva entrada cron para adquirir y ejecutar periódicamente scripts maliciosos de Pastebin.

La siguiente etapa del flujo de infección implica descargar un kit de minería que contiene un script de minero XMRig, un archivo de configuración, un script de inicio y comenzar la minería de criptomonedas en segundo plano.

360 Netlab descubrió que una de las carteras de Monero utilizadas por la botnet z0Miner contiene alrededor de 22 XMR (poco más de $ 4,600).

Sin embargo, si bien esto no parece mucho, las botnets de criptominería usan regularmente más de una billetera para recolectar criptomonedas obtenidas ilegalmente que pueden acumularse rápidamente.

Según las estadísticas de honeypot compartidas por 360 Netlab, la actividad de la botnet z0Miner reanudó la recuperación a mediados de enero, después de una breve pausa a principios de enero.

Actividad z0Miner
Imagen: 360 Netlab

Miles de dispositivos ya comprometidos

z0Miner se puso en marcha el año pasado y ha sido manchado por el equipo de seguridad de Tencent mientras explotaba dos errores RCE de preautorización de Weblogic monitoreados, como CVE-2020-14882 y CVE-2020-14883, para propagarse a otros dispositivos.

Según las estimaciones del equipo de seguridad de Tencent, el actor de amenazas que controlaba z0Miner se vio comprometido y rápidamente adquirió más de 5.000 servidores.

Los atacantes escanearon los servidores en la nube en lotes en busca de servidores Weblogic sin parches y los comprometieron enviando "paquetes de datos cuidadosamente construidos" para explotar los dispositivos vulnerables.

Después del compromiso, z0Miner utilizó una lógica de ataque similar a la observada por los investigadores de 360 ​​Netlab, ganando persistencia a través de crontab y comenzando a minar para Monero.

La muestra de z0Miner encontrada por el equipo de seguridad de Tencent en noviembre de 2020 también se estaba extendiendo lateralmente en la red de dispositivos ya comprometidos a través de SSH.

Descubre más contenido

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Subir Change privacy settings