Poprzedni Następny

Kolejny botnet kopiący Monero na podatnych serwerach JBoss

​Monero – bot skanujący serwery JBOSS

W połowie grudnia 2017 zaobserwowano kampanię skanowania serwerów JBOSS przez botnet Monero pod względem istnienia podatności CVE-2017-12149. Dotyczą nieprawidłowej deserializacji danych przez Jbossa. Boty wysyłały żądanie http na url “/invoker/readonly” na 6 portów tcp używanych przez Jbossa. Rejestrowały je w serwerze C&C IP wszystkich komputerów, które w odpowiedzi zwracały kod błędu 500 z napisem “Jboss”/”jboss”. Przejmowane w ten sposób komputery wykorzystywane były do kopania kryptowaluty Monero co jest obecnie dosyć powszechne oraz do skanowania kolejnych komputerów.

Zapasowy serwer sterujący

W samym malware nietypowa była jeszcze jedna rzecz. System bota, oprócz adresu serwera C&C, zawierał również link do publicznego pliku pastebin.com, w którego treści znajdował się adres zapasowego serwera C&C. W przypadku niedostępności lub zablokowaniu adresu podstawowego, atakujący miał wtedy możliwość łatwego przekierowania botneta na dowolny inny serwer nim zarządzający.

Zyski botneta na kopaniu Monero to 60 tys. USD w ciągu 2 tygodni.

Źródło: https://f5.com/labs/articles/threat-intelligence/malware/new-python-based-crypto-miner-botnet-flying-under-the-radar?sf178360556=1

Podobne