Un gusano de criptominería recientemente descubierto está intensificando su objetivo de dispositivos Windows y Linux con un lote de nuevas vulnerabilidades y capacidades, dijo un investigador.
La compañía de investigación Juniper comenzó a monitorear lo que llama la botnet Sysrv en diciembre. Uno de los componentes de malware de la red de bots era un gusano que se propagaba de un dispositivo vulnerable a otro sin requerir ninguna acción por parte del usuario. Hizo esto escaneando Internet en busca de dispositivos vulnerables y, cuando los encontró, los infectó usando una lista de vulnerabilidades que ha aumentado con el tiempo.
El malware también incluía un criptominero que usa dispositivos infectados para crear la moneda digital Monero. Había un archivo binario separado para cada componente.
Arsenal en constante crecimiento
Para marzo, los desarrolladores de Sysrv habían rediseñado el malware para combinar el gusano y el minero en un solo binario. También le dieron al script que carga el malware la capacidad de agregar claves SSH, muy probablemente como una forma de hacerlo más capaz de sobrevivir a los reinicios y tener capacidades más sofisticadas. El gusano explotaba seis vulnerabilidades en el software y los marcos utilizados en las empresas, incluidos Mongo Express, XXL-Job, XML-RPC, Saltstack, ThinkPHP y Drupal Ajax.
“Según los binarios que hemos visto y el momento en que los hemos visto, descubrimos que el actor de amenazas actualiza constantemente su arsenal de exploits”, dijo el investigador de Juniper, Paul Kimayong, en una publicación de blog el jueves.
La publicación del jueves enumeró más de una docena de exploits que están siendo atacados por el malware. Están:
Explotar | Software |
CVE-2023-3129 | Laravel |
CVE-2023-14882 | Oracle Weblogic |
CVE-2023-3396 | Macro de conector de widgets en Atlassian Confluence Server |
CVE-2023-10758 | mongo expreso |
CVE-2023-0193 | apache solr |
CVE-2023-9841 | Unidad PHP |
CVE-2023-12149 | Servidor de aplicaciones Jboss |
CVE-2023-11610 | Supervisor (XML-RPC) |
Ejecución de comandos no autenticados de Apache Hadoop a través de YARN ResourceManager (sin CVE) | apache hadoop |
Fuerza bruta Jenkins | Jenkins |
Ejecución de comandos de Jupyter Notebook (sin CVE) | Servidor de portátiles Jupyter |
CVE-2023-7238 | Administrador de repositorio Sonatype Nexus |
Ejecución del comando de carga de Tomcat Manager Unauth (sin CVE) | Administrador de Tomcat |
Fuerza bruta de WordPress | WordPress |
Los exploits que Juniper Research vio anteriormente que usaba el malware son:
- Mongo Express RCE (CVE-2023-10758)
- XXL-TRABAJO Unauth RCE
- XML-RPC (CVE-2023-11610)
- CVE-2023-16846 (RCE de Saltstack)
- Piense PHP RCE
- CVE-2023-7600 (Drupal Ajax RCE)
Entra, el agua es genial
Los desarrolladores también han cambiado los grupos de minería a los que se unen los dispositivos infectados. El minero es una versión del XMRig de código abierto que actualmente extrae los siguientes grupos de minería:
- Xmr-eu1.nanopool.org:14444
- f2pool.com:13531
- minexmr.com:5555
Un grupo de minería es un grupo de mineros de criptomonedas que combinan sus recursos computacionales para reducir la volatilidad de sus ganancias y aumentar las posibilidades de encontrar un bloque de transacciones. Según el sitio de comparación de rentabilidad de grupos mineros PoolWatch.io, los grupos utilizados por Sysrv son tres de los cuatro principales grupos mineros de Monero.
“Combinados, tienen casi el 50 % de la tasa de hash de la red”, escribió Kimayong. “El criterio del actor de amenazas parece ser los mejores grupos de minería con altas tasas de recompensa”.
El beneficio de la minería se deposita en la siguiente dirección de billetera:
49dnvYkWkZNPrDj3KF8fR1BHLBfiVArU6Hu61N9gtrZWgbRptntwht5JUrXX1ZeofwPwC6fXNxPZfGjNEChXttwWE3WGURa
Nanopool muestra que la billetera ganó 8 XMR, con un valor aproximado de $1,700, del 1 al 28 de marzo. Está agregando alrededor de 1 XMR cada dos días.
Una amenaza para Windows y Linux por igual
El binario Sysrv es un binario Go de 64 bits que incluye el empaquetador ejecutable UPX de código abierto. Hay versiones tanto para Windows como para Linux. Dos binarios de Windows elegidos al azar fueron detectados por 33 y 48 de los 70 principales servicios de protección contra malware, según VirusTotal. Dos binarios de Linux elegidos al azar tenían seis y nueve.
La amenaza de esta botnet no es solo la presión sobre los recursos informáticos y el consumo no trivial de electricidad. Es casi seguro que el malware que tiene la capacidad de ejecutar un criptominero también puede instalar ransomware y otros productos maliciosos. La publicación del blog del jueves tiene docenas de indicadores que los administradores pueden usar para ver si los dispositivos que administran están infectados.