Il malware Z0Miner si diffonde attraverso i server Elasticsearch e Jenkins senza patch

Una botnet di mining dannosa scoperta l'anno scorso è passata a prendere di mira server Jenkins ed Elasticsearch senza patch per estrarre la criptovaluta Monero (XMR).

Secondo i ricercatori di sicurezza del Network Security Research Lab (360 Netlab) di Qihoo 360, il Tencent Security Team ha scoperto z0Miner l'anno scorso sfruttando la vulnerabilità dell'esecuzione di comandi remoti non autorizzati di WebLogic per la propagazione. I ricercatori hanno affermato che varie famiglie di malware per il mining sono diventate più attive a causa dell'impennata dei valori delle criptovalute.

Z0Miner ha colpito l'anno scorso quando Tencent Security ha rintracciato il malware sfruttando due bug RCE pre-autenticazione di WebLogic rilevati come CVE-2020-14882 e CVE-2020-14883. All'epoca, il team di analisti della sicurezza stimava che il minatore avesse compromesso circa 5.000 server inviando "pacchetti di dati accuratamente costruiti" ai sistemi vulnerabili. Il malware si è spostato anche lateralmente tramite SSH.

In precedenza, Oracle aveva già emesso un bollettino sulla sicurezza di avviso di vulnerabilità nei componenti WebLogic. All'epoca, una ricerca della società di sicurezza informatica Rapid7 affermava che il difetto era "banale da sfruttare".

I ricercatori hanno affermato che da allora il malware è cambiato per cercare e infettare i sistemi sfruttando le vulnerabilità dell'esecuzione di comandi remoti in Elasticsearch e Jenkins.

Il malware utilizza exploit che prendono di mira una vulnerabilità Elasticsearch RCE — tracciata come CVE-2015-1427 — e un vecchio server RCE che colpisce Jenkins per compromettere un server. Quindi scarica uno script di shell dannoso per fermare eventuali minatori competitivi. Successivamente, imposta un processo cron per scaricare ed eseguire periodicamente script dannosi su Pastebin. I ricercatori hanno affermato che questi script attualmente hanno un solo comando di uscita, ma non possono escludere la possibilità che in futuro possano essere aggiunti altri comandi dannosi.

Quindi scarica ed esegue il suo software di mining da tre URL contenenti un file di configurazione di mining, un minatore XMRig e uno script di shell di avvio del minatore. Secondo i ricercatori, sono stati estratti oltre 22 XMR per un valore di $ 4.600 finora, ma i criminali informatici spesso utilizzano molti portafogli, quindi la cifra complessiva potrebbe essere molto più alta.

I ricercatori hanno consigliato agli utenti di Elasticsearch e Jenkins di controllare le loro installazioni e aggiornarle per correggere questi exploit il prima possibile. Hanno anche raccomandato alle organizzazioni di controllare Elasticsearch e Jenkins per processi anomali e connessioni di rete e monitorare e bloccare IP e URL rilevanti.