A empresa de segurança Trend Micro foi quem descobriu a nova vaga de mineração de criptomoedas de forma ilegal. Os atacantes fizeram quase US $ 75.000 com a instalação de um minner da Monero nos servidores Linux vulneráveis.
Os atacantes já exploram esta vulnerabilidade aproximadamente há 5 anos no Cacti “Network Weathermap” plugin e, de acordo com a Trend Micro, esta campanha está ligada a uma campanha de crypto-jacking relacionada com o JenkinsMiner malware e explorada há poucas semanas.
Um grupo de hackers faz $3.4 milhoes ao instalarem cryptominers no Jenkins
Esta vaga de ataques tem o alvo bem definido: os servidores Linux. Os atacantes têm usado o exploit para a vulnerabilidade CVE-2013-2618 no plugin Cacti para atacar os servidores. O Cacti é uma ferramenta open-source para monitorização de rede e graphing tool.
“This campaign’s operators were exploiting CVE-2013-2618, a dated vulnerability in Cacti’s Network Weathermap plug-in, which system administrators use to visualize network activity.” reads the analysis pulished by Trend Micro.
“As to why they’re exploiting an old security flaw: Network Weathermap only has two publicly reportedvulnerabilities so far, both from June 2014. It’s possible these attackers are taking advantage not only of a security flaw for which an exploit is readily available but also of patch lag that occurs in organizations that use the open-source tool.”
Esta falha permite aos atacantes executar código arbitrário nos servidores vulneráveis. Neste caso, eles descarregam e instalam uma versão customizada do XMRig, um software de mining “legítimo” da Monero (dada.x86_64 as of 01/28/2018, earlier named as xig or nkrb). O XMRig é compatível com ambos os Windows e Linux nas versões 32 e 64 bits.
De forma a ganhar persistência, os atacantes modificaram os cron jobs locais para acionar um script Bash “watchd0g” a cada três minutos, o script verifica se o minerador do Monero ainda está ativo e renicia, caso este esteja desativado.
“Code is written in /etc/rc.local, which means that each time a system is restarted, watchd0g.sh is executed. The modification of /etc/crontab results in watchd0g.sh being run every three minutes. It then modifies the Linux kernel parameter vm.nr_hugepages to the recommended value for mining Monero (XMR). It also ensures that the watchd0g.sh process runs or re-downloads and executes the file if it terminates.” continues the analysis.
Os investigadores analisaram cinco amostras de malware que os levaram a dois nomes de utilizadores de login únicos, correspondentes às carteiras do Monero para as quais os pagamentos da pool de mineração são enviados.
According to Trend Micro, hackers made approximately 320 XMR (roughly $75,000), most of the Linux servers were located in Japan (12%), China (10%), Taiwan (10%), and the US (9%).
A Trend Micro recomenda “fazer updates”:
“While this allows systems or network administrators to conveniently monitor their environments (with just a browser bookmark, for instance), it also does the same for threat actors.” concluded Trend Micro.