Z0Miner

Das Botnetz von z0Miner (zoMiner) scheint seine Bedrohungstricks dahingehend aktualisiert zu haben, dass sie nun jahrelange Sicherheitslücken enthalten, die nicht gepatchte ElasticSearch- und Jenkins-Server betreffen. Das Botnetz wurde letztes Jahr von den Forschern von Qihoo 360 Netlab, dem Cybersicherheitsteam von Tencent, entdeckt, als es dabei erwischt wurde, mehr als 5.000 Server zu kompromittieren, indem zwei Weblogic-RCE-Schwachstellen vor der Autorisierung ausgenutzt wurden, die als CVE-2020-14882 und CVE-2020-14883 verfolgt wurden Die Angreifer scannten Stapel von Cloud-Servern und alle geeigneten Ziele wurden dann durch sorgfältig gestaltete Datenpakete infiziert.

Bei den neuen z0Miner-Angriffen haben die Hacker begonnen, über einen RCE-Exploit (Remote Code Execution), der als CVE-2015-1427 verfolgt wird, nach anfälligen ElasticSearch-Servern zu suchen, während ein älterer RCE-Exploit zum Infizieren von Jenkins-Servern verwendet wird. Nach einem erfolgreichen Verstoß gegen dieses Zielsystem wird durch die Malware-Bedrohung die Umgebung durch Herunterladen einer Shell von jeglicher Konkurrenz ausgeschlossen. Als Nächstes wird ein Cron-Job eingerichtet, der regelmäßig beschädigte Skripte von Pastebin abruft und ausführt. Der letzte Schritt der Angriffskette sieht die Lieferung der Mining-Nutzlast vor. Z0Miner kontaktiert drei verschiedene URLs und lädt eine Konfigurationsdatei, ein Shell-Skript zum Starten des Crypto-Miner und eine Variante des XMRig- Miner-Skripts herunter.

Die aktuellen Aktivitäten des Botnetzes haben es bereits geschafft, ungefähr 22 XMR (Monero) -Münzen für die Hacker zu generieren, die zum aktuellen Wechselkurs der Kryptowährung einen Wert von rund 4800 US-Dollar haben. Die illegalen Gewinne der Hacker könnten jedoch erheblich höher sein, da dies die Summe ist, die in einer Signalbrieftasche enthalten ist, während die Crypto-Mining-Kampagne im Rahmen ihrer Aktivitäten mehrere umfassen kann.