Pesquisadores de cibersegurança descobriram uma nova campanha que explora uma falha de segurança conhecida que afeta o Apache HTTP Server para entregar um minerador de criptomoedas chamado Linuxsys.
A vulnerabilidade em questão é a
CVE-2021-41773
(pontuação CVSS: 7.5), uma vulnerabilidade de travessia de caminho de alta gravidade na versão 2.4.49 do Apache HTTP Server que pode resultar em execução remota de código.
"O atacante aproveita sites legítimos comprometidos para distribuir malware, permitindo entrega furtiva e evasão de detecção", disse VulnCheck em um relatório compartilhado com a imprensa.
A sequência de infecção, observada no início deste mês e originária de um endereço IP indonésio 103.193.177[.]152, é projetada para soltar um payload de próxima etapa de "repositorylinux[.]org" usando curl ou wget.
O payload é um script de shell responsável por baixar o minerador de criptomoedas Linuxsys de cinco sites legítimos diferentes, sugerindo que os atores de ameaça por trás da campanha conseguiram comprometer a infraestrutura de terceiros para facilitar a distribuição do malware.
"Essa abordagem é inteligente porque as vítimas se conectam a hosts legítimos com certificados SSL válidos, tornando a detecção menos provável", observou VulnCheck.
Além disso, fornece uma camada de separação para o site de download ('repositorylinux[.]org'), já que o malware em si não é hospedado lá.
Os sites também hospedam outro script de shell chamado "cron.sh" que garante que o minerador seja lançado automaticamente após um reboot do sistema.
A empresa de cibersegurança disse que também identificou dois executáveis do Windows nos sites hackeados, aumentando a possibilidade de que os atacantes também estejam visando o sistema operacional desktop da Microsoft.
Vale ressaltar que ataques distribuindo o minerador Linuxsys anteriormente exploraram uma falha de segurança crítica no OSGeo GeoServer GeoTools (
CVE-2024-36401
, pontuação CVSS: 9.8), conforme documentado pela Fortinet FortiGuard Labs em setembro de 2024.
Interessantemente, o script de shell solto após a exploração da falha foi baixado de "repositorylinux[.]com", com comentários no código-fonte escritos em Sunda, um idioma indonésio.
O mesmo script de shell foi detectado em campo tão atrás quanto dezembro de 2021.
Algumas das outras vulnerabilidades exploradas para entregar o minerador nos últimos anos incluem:
-
CVE-2023-22527
, uma vulnerabilidade de injeção de template no Atlassian Confluence Data Center e Confluence Server;
-
CVE-2023-34960
, uma vulnerabilidade de injeção de comando nos Sistemas de Gerenciamento de Aprendizado Chamilo (LMS);
-
CVE-2023-38646
, uma vulnerabilidade de injeção de comando no Metabase;
- CVE-2024-0012 e
CVE-2024-9474
, são vulnerabilidades de bypass de autenticação e de escalonamento de privilégios em firewalls da Palo Alto Networks
"Tudo isso indica que o atacante vem conduzindo uma campanha de longo prazo, empregando técnicas consistentes como a exploração de n-day, colocando conteúdo em hosts comprometidos e minerando criptomoedas em máquinas das vítimas", disse VulnCheck.
"Parte do sucesso deles vem do direcionamento cuidadoso. Eles parecem evitar honeypots de baixa interação e requerem alta interação para observar sua atividade.
Combinado com o uso de hosts comprometidos para distribuição de malware, essa abordagem tem ajudado em grande parte o atacante a evitar escrutínio."
Exchange Servers Visados pelo Backdoor GhostContainer.
O desenvolvimento vem a medida que a Kaspersky divulgou detalhes de uma campanha que está visando entidades governamentais na Ásia, provavelmente com uma falha de segurança N-day no Microsoft Exchange Server, para implantar um backdoor personalizado apelidado de GhostContainer.
Suspeita-se que os ataques possam ter explorado uma falha de execução remota de código agora corrigida no Exchange Server (
CVE-2020-0688
, pontuação CVSS: 8.8).
O "backdoor sofisticado e multifuncional" pode ser "extendido dinamicamente com funcionalidade arbitrária através do download de módulos adicionais", disse a empresa russa, acrescentando "o backdoor concede aos atacantes controle total sobre o servidor Exchange, permitindo-lhes executar uma gama de atividades maliciosas."
O malware está equipado para analisar instruções que podem executar shellcode, baixar arquivos, ler ou deletar arquivos, executar comandos arbitrários e carregar código byte .NET adicional.
Ele também incorpora um módulo de proxy web e de tunelamento.
Suspeita-se que a atividade possa ter sido parte de uma campanha de ameaça persistente avançada (APT) visando organizações de alto valor, incluindo empresas de alta tecnologia, na Ásia.
Não se sabe muito sobre quem está por trás dos ataques, embora sejam avaliados como altamente qualificados devido ao seu profundo entendimento do Microsoft Exchange Server e sua capacidade de transformar código disponível publicamente em ferramentas avançadas de espionagem.
"O backdoor GhostContainer não estabelece uma conexão com nenhuma infraestrutura [de comando e controle]", disse a Kaspersky.
Em vez disso, o atacante conecta-se ao servidor comprometido de fora, e seus comandos de controle são escondidos dentro de solicitações web normais do Exchange.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...