Les Hackers exploitent une faille Apache pour déposer un payload de cryptomineur Linuxsys.

HomeNews* Les chercheurs ont découvert une nouvelle attaque exploitant une vulnérabilité connue dans le serveur HTTP Apache pour déployer le mineur de crypto-monnaie Linuxsys.

• Les attaquants utilisent des sites web légitimes compromis et la faille de traversée de chemin CVE-2021-41773 pour échapper à la détection et propager des logiciels malveillants.
• Les malwares sont distribués via des scripts shell et se lancent automatiquement après le redémarrage du système ; les preuves montrent que la menace cible également les systèmes Windows.
• Cette campagne exploite diverses vulnérabilités logicielles connues, suggérant un effort coordonné à long terme pour le minage illégal de pièces.
• Une campagne distincte utilise une porte dérobée sophistiquée appelée GhostContainer pour cibler les serveurs d'échange gouvernementaux en Asie pour l'espionnage. Des entreprises de cybersécurité ont identifié une nouvelle campagne de malware où les attaquants exploitent une vulnérabilité de sécurité dans le serveur Apache HTTP pour distribuer un outil de minage de cryptomonnaie nommé Linuxsys. Les attaques, détectées en juillet 2025, ciblent spécifiquement le bug CVE-2021-41773 dans la version 2.4.49 d'Apache, permettant aux utilisateurs non autorisés d'exécuter du code à distance sur des serveurs vulnérables.

• Publicité - Les acteurs malveillants distribuent le malware en compromettant des sites web légitimes et en les utilisant comme points de livraison. Selon VulnCheck, les attaquants initient les infections à partir d'une adresse IP indonésienne et utilisent un serveur de téléchargement, “repositorylinux[.]org,” pour récupérer des scripts shell malveillants. Ces scripts sont responsables du téléchargement du mineur Linuxsys depuis divers domaines de confiance, rendant la détection plus difficile car les connexions utilisent des certificats SSL valides.

Le script shell automatise le processus d'installation et dépose un autre script, "cron.sh", qui garantit que le mineur se lance chaque fois que le système redémarre. VulnCheck a observé que certains des sites compromis contiennent également des fichiers malveillants Windows, indiquant que la portée de la campagne pourrait s'étendre au-delà des systèmes Linux. Les attaquants ont précédemment exploité des vulnérabilités critiques, telles qu'un défaut dans OSGeo GeoServer GeoTools (CVE-2024-36401), pour des activités de minage similaires. Les commentaires dans le code source du malware sont écrits en soundanais, suggérant un lien avec l'Indonésie.

D'autres vulnérabilités logicielles utilisées dans des attaques passées pour déployer le mineur incluent l'injection de modèles dans Atlassian Confluence (CVE-2023-22527), l'injection de commandes dans Chamilo LMS (CVE-2023-34960), et des défauts similaires dans Metabase et les pare-feux Palo Alto (CVE-2024-0012 et CVE-2024-9474). “Tout cela indique que l'attaquant a mené une campagne à long terme, employant des techniques cohérentes telles que l'exploitation n-day, le staging de contenu sur des hôtes compromis, et le minage de cryptomonnaies sur des machines victimes,” a rapporté VulnCheck.

Dans un incident séparé, Kaspersky a averti d'une attaque ciblée contre des serveurs gouvernementaux en Asie par le biais d'un malware sur mesure appelé GhostContainer. Les attaquants auraient pu exploiter un bug d'exécution de code à distance (CVE-2020-0688) dans les serveurs Microsoft Exchange. Cette porte dérobée permet un accès complet aux serveurs compromis sans se connecter à des centres de commande externes, cachant les instructions dans des requêtes web normales, ce qui augmente la furtivité.

Les campagnes démontrent un ciblage persistant des failles logicielles connues du public et des tactiques sophistiquées pour maintenir un profil bas tout en menant des opérations de minage et d'espionnage.

Articles Précédents :

• La menace de tarif de Trump fait dérailler la poussée des BRICS pour une monnaie commune
• La société Axiology de Lituanie obtient une licence DLT pour le trading d'obligations numériques
• BlackRock investit 916M $ dans Bitcoin, Ethereum alors que les avoirs en crypto explosent
• Bitcoin atteint 123K $ alors que le rapport du groupe de travail de Trump suscite des rumeurs sur le marché
• XRP approche une capitalisation boursière de 200 milliards de dollars, augmente de 35 % par rapport au Bitcoin en juillet

• Publicité -