Увлечение хакерами Monero, похоже, не замедляется. Поскольку серверы едва начинают восстанавливаться после натиска эксплойтов, которые заразили Monero с использованием своих процессоров, другая уязвимость, выполняющая удаленное выполнение кода, атакует системы под управлением Drupal.
Исследователи из Help Net Security, которые обнаружили это, дали ему прозвище «Китти» из-за того, что вредоносное ПО доставлено из папки с этим именем. Не позволяйте симпатичному имени обмануть вас: этот эксплойт внедряет код на сервер, который будет продолжать работать, даже если администратор удалит из него Drupal.
«Как только скрипт Kitty bash выполняется, файл PHP с именем kdrupal.php записывается на зараженный серверный диск. При этом злоумышленник укрепляет свои позиции на зараженном сервере и гарантирует доминирование с помощью бэкдора, независимого от уязвимости Drupal », - пишет компания в своем отчете .
Сначала скрипт аутентифицирует злоумышленника, убедившись, что никто другой не может получить доступ к его функциям. Затем он регистрирует запланированную службу, которая повторно загружает и выполняет сценарий, чтобы гарантировать, что сервер остается зараженным.
«После того, как злоумышленник получает постоянный контроль над сервером, будет запущена программа добычи «kkworker», которая является известным мини-майнером XMRig Monero, и запускает процесс добычи», - добавила компания.
Программа-вирус может контролировать мощный сервер, чтобы запускать майнинг, но Китти - жадное существо. Атака также включает в себя скрипт добычи, помеченный как «me0w.js», который внедряется в каждый файл JavaScript на сервере, который только можно себе представить.
Внутри скрипта мы также видим код, в котором используются процессоры посетителей, чтобы вывести Monero в кошелек хакера.
Далее в коде мы также можем найти заявление от хакера, который гласит: «Не удаляйте pls, я безвредный милый маленький котенок».
Help Net Security ответила на это: «Хорошо, что мы люди-собаки».
Следует отметить, что этот конкретный эксплойт является вариантом серии атак типа «Drupalgeddon 2.0», в котором более 300 серверов, на которых работает Drupal, включая такие сайты, как зоопарк Сан-Диего и правительства Чихуахуа, Мексики, которые пострадали от майнинга Monero хакерами.
Перевод специально для mmgp.ru
Уникальность