Le logiciel malveillant Z0Miner se propage via les serveurs Elasticsearch et Jenkins non corrigés
Un botnet de minage malveillant découvert l'année dernière s'est déplacé pour cibler les serveurs Jenkins et Elasticsearch non corrigés afin d'extraire la crypto-monnaie Monero (XMR).
Selon des chercheurs en sécurité du laboratoire de recherche sur la sécurité du réseau de Qihoo 360 (360 Netlab), l'équipe de sécurité de Tencent a découvert l'année dernière que z0Miner exploitait la vulnérabilité d'exécution de commandes à distance non autorisée de WebLogic pour la propagation. Les chercheurs ont déclaré que diverses familles de logiciels malveillants de minage sont devenues plus actives au milieu de la flambée des valeurs de crypto-monnaie.
Z0Miner a frappé l'année dernière lorsque Tencent Security a suivi le logiciel malveillant en exploitant deux bogues RCE de pré-authentification WebLogic suivis comme CVE-2020-14882 et CVE-2020-14883. À l'époque, l'équipe d'analystes en sécurité estimait que le mineur avait compromis environ 5 000 serveurs en envoyant des "paquets de données soigneusement construits" aux systèmes vulnérables. Le malware s'est également déplacé latéralement via SSH.
Avant cela, Oracle avait déjà publié un bulletin de sécurité avertissant des vulnérabilités des composants WebLogic. À l'époque, les recherches de la société de cybersécurité Rapid7 indiquaient que la faille était "insignifiante à exploiter".
Les chercheurs ont déclaré que le logiciel malveillant avait depuis changé pour rechercher et infecter les systèmes en exploitant les vulnérabilités d'exécution de commandes à distance dans Elasticsearch et Jenkins.
Le logiciel malveillant utilise des exploits ciblant une vulnérabilité Elasticsearch RCE - identifiée comme CVE-2015-1427 - et un ancien RCE affectant le serveur Jenkins pour compromettre un serveur. Il télécharge ensuite un script shell malveillant pour arrêter tous les mineurs concurrents. Ensuite, il configure une tâche cron pour télécharger et exécuter périodiquement des scripts malveillants sur Pastebin. Les chercheurs ont déclaré que ces scripts n'avaient actuellement qu'une seule commande de sortie, mais ne pouvaient pas exclure la possibilité que d'autres commandes malveillantes puissent être ajoutées à l'avenir.
Il télécharge et exécute ensuite son logiciel de minage à partir de trois URL contenant un fichier de configuration de minage, un mineur XMRig et un script shell de démarrage de mineur. Selon les chercheurs, plus de 22 XMR d'une valeur de 4 600 $ ont été exploités jusqu'à présent, mais les cybercriminels utilisent souvent de nombreux portefeuilles, de sorte que le chiffre global pourrait être beaucoup plus élevé.
Les chercheurs ont recommandé aux utilisateurs d'Elasticsearch et de Jenkins de vérifier leurs installations et de les mettre à jour pour corriger ces exploits dès que possible. Ils ont également recommandé aux organisations de vérifier Elasticsearch et Jenkins pour les processus anormaux et les connexions réseau, et de surveiller et de bloquer les adresses IP et URL pertinentes.
-
L'IA et la sécurité du cloud computing dans les entreprises
2018 a été une grande année pour lintelligence artificielle (IA). Le gouvernement britannique à lui seul finance actuellement 70 projets nationaux dans le but de lancer des voitures autonomes sur la r
-
Sécurité sociale :comment ça marche et pourquoi c'est important
En ce qui concerne le sujet de la sécurité sociale, vous sentez-vous un peu confus ? Si oui, vous nêtes pas seul. Des recherches ont montré que la plupart des gens surestiment leurs paiements de sécur
Chaîne de blocs
- Mon ex-femme peut-elle percevoir la sécurité sociale et la pension alimentaire ?
- La blockchain pourrait jouer un rôle important dans l'agriculture et la sécurité alimentaire futures
- Impact des IRA traditionnels et Roth sur les prestations de sécurité sociale
- Définition du jeton de sécurité
- NFT et DeFi
- Miam! Marques YUM Stock – Restauration rapide et sécurité financière
- Sécurité cryptographique :qu'est-ce que le cryptojacking ? Comment le prévenir et s'en défendre ?
- Crypto-monnaie :fonctionnalités et mesures de sécurité pour les investisseurs
- Taxe de sécurité sociale :qu'est-ce que c'est et pourquoi c'est important pour vous
-
Un hacker éthique certifié et un responsable informatique volent 575 000 $ en crypto-monnaie à une personne âgée Un hacker éthique certifié et responsable informatique en exercice a été accusé de plusieurs infractions après avoir volé une grosse somme de crypto-monnaie à une personne âgée. Aaron Daniel Motta au...
-
Le malware 'Doki' attaque les serveurs Docker en utilisant Dogecoin Les logiciels malveillants qui sont restés non détectés pendant six mois exploitent des ports dAPI Docker mal configurés pour lancer des charges utiles malveillantes, tout en abusant de la blockchain ...