W połowie grudnia 2017 zaobserwowano kampanię skanowania serwerów JBOSS przez botnet Monero pod względem istnienia podatności CVE-2017-12149. Dotyczą nieprawidłowej deserializacji danych przez Jbossa. Boty wysyłały żądanie http na url “/invoker/readonly” na 6 portów tcp używanych przez Jbossa. Rejestrowały je w serwerze C&C IP wszystkich komputerów, które w odpowiedzi zwracały kod błędu 500 z napisem “Jboss”/”jboss”. Przejmowane w ten sposób komputery wykorzystywane były do kopania kryptowaluty Monero co jest obecnie dosyć powszechne oraz do skanowania kolejnych komputerów.
Zapasowy serwer sterujący
W samym malware nietypowa była jeszcze jedna rzecz. System bota, oprócz adresu serwera C&C, zawierał również link do publicznego pliku pastebin.com, w którego treści znajdował się adres zapasowego serwera C&C. W przypadku niedostępności lub zablokowaniu adresu podstawowego, atakujący miał wtedy możliwość łatwego przekierowania botneta na dowolny inny serwer nim zarządzający.
Zyski botneta na kopaniu Monero to 60 tys. USD w ciągu 2 tygodni.
—
Potrzebujesz rozwiązań cyberbezpieczeństwa dla firmy – skontaktuj się z nami.