Хакеры используют уязвимость Apache для внедрения полезной нагрузки Linuxsys Криптомайнера

ГлавнаяНовости* Исследователи обнаружили новую атаку, использующую известную уязвимость в Apache HTTP Server для развертывания криптовалютного майнера Linuxsys.

• Злоумышленники используют скомпрометированные легитимные веб-сайты и уязвимость пути обхода CVE-2021-41773, чтобы избежать обнаружения и распространить вредоносное ПО.
• Вредоносное ПО распространяется через оболочечные скрипты и запускается автоматически после перезагрузки системы; доказательства показывают, что угроза также нацелена на системы Windows.
• Эта кампания использует различные известные уязвимости программного обеспечения, предполагая долгосрочные, скоординированные усилия по незаконному майнингу монет.
• Отдельная кампания использует сложный механизм доступа под названием GhostContainer для нацеливания на серверы обмена правительств в Азии с целью шпионажа. Фирмы по кибербезопасности выявили новую кампанию вредоносного ПО, в которой злоумышленники используют уязвимость в Apache HTTP Server для распространения инструмента для майнинга криптовалюты под названием Linuxsys. Атаки, зафиксированные в июле 2025 года, специально нацелены на ошибку CVE-2021-41773 в версии Apache 2.4.49, что позволяет неавторизованным пользователям удаленно выполнять код на уязвимых серверах.

• Реклама - Угрожающее поведение злоумышленников заключается в распространении вредоносного программного обеспечения путем компрометации легитимных веб-сайтов и использования их в качестве точек доставки. Согласно VulnCheck, атаки инициируются с индонезийского IP-адреса, и для загрузки вредоносных оболочек используется сервер загрузки "repositorylinux[.]org". Эти скрипты отвечают за загрузку майнера Linuxsys с различных надежных доменов, что затрудняет обнаружение, так как соединения используют действительные SSL-сертификаты.

Скрипт оболочки автоматизирует процесс установки и устанавливает другой скрипт, "cron.sh", который гарантирует, что майнер запускается каждый раз, когда система перезагружается. VulnCheck обнаружил, что некоторые скомпрометированные сайты также содержат файлы вредоносного ПО для Windows, что указывает на то, что охват кампании может выходить за пределы систем Linux. Злоумышленники ранее использовали критические уязвимости, такие как ошибка в OSGeo GeoServer GeoTools (CVE-2024-36401), для аналогичных действий по майнингу. Комментарии в исходном коде вредоносного ПО написаны на сунданском языке, что предполагает связь с Индонезией.

Другие уязвимости программного обеспечения, использованные в прошлых атаках для развертывания майнера, включают внедрение шаблонов в Atlassian Confluence (CVE-2023-22527), инъекцию команд в Chamilo LMS (CVE-2023-34960) и аналогичные недостатки в Metabase и брандмауэрах Palo Alto (CVE-2024-0012 и CVE-2024-9474). "Все это указывает на то, что злоумышленник проводит длительную кампанию, применяя последовательные техники, такие как эксплуатация уязвимостей n-дня, размещение контента на скомпрометированных хостах и майнинг криптовалюты на машинах жертв," сообщает VulnCheck.

В отдельном инциденте Kaspersky предупредил о целенаправленной атаке на государственные серверы в Азии с помощью индивидуального вредоносного ПО под названием GhostContainer. Нападающие могли воспользоваться уязвимостью удаленного выполнения кода (CVE-2020-0688) в серверах Microsoft Exchange. Эта закладка позволяет полностью получить доступ к скомпрометированным серверам, не подключаясь к внешним командным центрам, скрывая инструкции внутри обычных веб-запросов, что увеличивает скрытность.

Кампании демонстрируют постоянное нацеливание на общеизвестные программные уязвимости и сложные тактики, позволяющие оставаться в тени во время проведения операций по майнингу и шпионажу.

Предыдущие статьи:

• Угроза тарифов Трампа подрывает усилия БРИКС по созданию общей валюты
• Литовская Axiology получила лицензию DLT для торговли цифровыми облигациями
• BlackRock инвестирует 916 миллионов долларов в Биткойн и Эфириум, поскольку криптоактивы стремительно растут
• Биткойн достиг $123K после того, как отчет рабочей группы Трампа вызвал рыночный ажиотаж
• XRP приближается к рыночной капитализации в 200 миллиардов долларов, увеличившись на 35% по отношению к биткойну в июле

• Реклама -