Red Canary: тысячи корпоративных серверов заражены вирусом-майнером XMRRig
Исследователи компании по компьютерной безопасности Red Canary обнаружили массовое заражение корпоративных серверов новым вирусом-майнером, созданным группой Blue Mockingbird. Вирус-майнер добывает анонимную криптовалюту Monero, а первые заражения случились в декабре 2019 года. Вирус атакует публичные сервера с приложениями, написанными для платформы ASP.NET и использующими фреймворк Telerik для создания пользовательского интерфейса.
Для заражения используется уязвимость
CVE-2019-18935. С ее помощью злоумышленники получают веб-доступ к серверу, а затем при помощи техники
Juicy Potato получают административные права и меняют настройки сервера, чтобы при перезагрузке у хакеров оставался доступ к нему. После этого они запускают майнер XMRRig для добычи Monero.
При этом, если зараженный сервер имеет доступ ко внутренней сети предприятия, хакеры пытаются заразить компьютеры на Windows в этой сети с помощью уязвимостей в протоколах RDP и SMB.
Специалисты Red Canary отмечают, что пока не полностью оценили масштабы ботнета, но уже обнаружили более 1*000 новых заражений:
Цитата:
«Эта угроза коснулась совсем небольшого количества наблюдаемых организаций, однако в этих компаниях количество заражений перевалило за 1*000, причем за короткое время».
|
Red Canary рекомендует проверить свои сервера на уязвимость CVE-2019-18935 и закрыть её. При этом*некоторые приложения, использующие Telerik UI, так и не были обновлены разработчиками. В этом случае рекомендуется закрыть доступ к уязвимости на уровне брандмауэра.
Недавно
сообщалось, что несколько суперкомпьютеров в Европе были атакованы злоумышленниками для майнинга XMR.
Источник:
Bits.media