Хакери використовують вразливість Apache, щоб завантажити payload криптомайнера Linuxsys

ГоловнаНовини* Дослідники виявили нову атаку, що використовує відому уразливість у сервері Apache HTTP для розгортання майнера криптовалюти Linuxsys.

• Зловмисники використовують скомпрометовані легітимні веб-сайти та вразливість CVE-2021-41773 для обходу виявлення та поширення шкідливого програмного забезпечення.
• Шкідливе програмне забезпечення поширюється через оболонкові скрипти та автоматично запускається після перезавантаження системи; докази свідчать про те, що загроза також націлена на системи Windows.
• Ця кампанія використовує різні відомі програмні вразливості, що свідчить про довгострокові, скоординовані зусилля з незаконного видобутку монет.
• Окрема кампанія використовує складний бекдор під назвою GhostContainer для цілей шпигунства, націлюючись на урядові сервери обміну в Азії. Фірми з кібербезпеки виявили нову кампанію шкідливого програмного забезпечення, де зловмисники використовують вразливість безпеки в Apache HTTP Server для розповсюдження інструменту для майнінгу криптовалюти під назвою Linuxsys. Атаки, виявлені в липні 2025 року, спеціально націлені на помилку CVE-2021-41773 у версії Apache 2.4.49, що дозволяє несанкціонованим користувачам виконувати код віддалено на вразливих серверах.

• Реклама - Загрози поширюють шкідливе ПЗ, компрометуючи легітимні вебсайти та використовуючи їх як точки доставки. Згідно з VulnCheck, зловмисники ініціюють інфекції з індонезійської IP-адреси та використовують сервер для завантаження, “repositorylinux[.]org,” для отримання шкідливих оболонкових скриптів. Ці скрипти відповідають за завантаження майнера Linuxsys з різних надійних доменів, що ускладнює виявлення, оскільки з'єднання використовують дійсні SSL-сертифікати.

Скрипт оболонки автоматизує процес встановлення та запускає інший скрипт, "cron.sh", який забезпечує запуск майнера щоразу, коли система перезавантажується. VulnCheck зафіксував, що деякі з компрометованих сайтів також містять файли Windows malware, що вказує на те, що охоплення кампанії може виходити за межі систем Linux. Зловмисники раніше експлуатували критичні вразливості, такі як недолік у OSGeo GeoServer GeoTools (CVE-2024-36401), для подібних майнінгових дій. Коментарі в джерельному коді malware написані на суданському, що свідчить про зв'язок з Індонезією.

Інші вразливості програмного забезпечення, які використовувалися в минулих атаках для розгортання майнера, включають ін'єкцію шаблонів в Atlassian Confluence (CVE-2023-22527), ін'єкцію команд в Chamilo LMS (CVE-2023-34960) та подібні недоліки в Metabase і брандмауерах Palo Alto (CVE-2024-0012 та CVE-2024-9474). “Все це вказує на те, що зловмисник проводить кампанію довгострокового характеру, використовуючи постійні техніки, такі як експлуатація n-дня, підготовка контенту на скомпрометованих хостах та видобуток монет на машинах жертв,” повідомляє VulnCheck.

У окремому інциденті Kaspersky попередив про цілеспрямовану атаку на урядові сервери в Азії через спеціальний шкідливий програмний продукт під назвою GhostContainer. Зловмисники, можливо, скористалися уразливістю віддаленого виконання коду (CVE-2020-0688) в Microsoft Exchange Servers. Ця задня дверцята дозволяє повний доступ до скомпрометованих серверів без підключення до зовнішніх командних центрів, приховуючи інструкції всередині звичайних веб-запитів, що підвищує прихованість.

Кампанії демонструють постійне націлювання на публічно відомі програмні вразливості та складні тактики для підтримки низького профілю під час виконання операцій з видобутку та шпигунства.

Попередні статті:

• Загроза тарифів Трампа заважає ініціативі БРІКС щодо спільної валюти
• Литва отримала ліцензію DLT від Axiology для торгівлі цифровими облігаціями
• BlackRock інвестує $916M у Біткойн, Ефір, оскільки криптоактиви зростають
• Біткоїн досяг $123K після того, як звіт робочої групи Трампа викликав ажіотаж на ринку
• XRP наближається до ринкової капіталізації в 200 мільярдів доларів, зростає на 35% проти Bitcoin в липні

• Реклама -