Информационная безопасностьНовости

Майнеры атакуют серверы Windows, Apache Solr и Redis, используя эксплоит АНБ

ИБ-специалисты обнаружили сразу две масштабные кампании, направленные на заражение серверов Windows, Apache Solr и Redis майнинговыми вредоносами.

Первую вредоносную кампанию заметили эксперты Imperva и присвоили ей название RedisWannaMine. По данным специалистов, злоумышленники активно ищут в сети уязвимые и давно не обновлявшиеся серверы Redis, после чего атакуют их, используя эксплоит для уязвимости CVE-2017-9805. Если компрометация сервера удалась, хакеры устанавливают на устройство майнера ReddisWannaMine.

Но ReddisWannaMine атакует не только серверы Redis, малварь также интересуют уязвимые машины с Windows Server и открытыми SMB-портами. Против них используется известный, некогда похищенный у АНБ эксплоит EternalBlue, применявшийся для распространения шифровальщика WannaCry. Таким образом, ReddisWannaMine распространяется как самовоспроизводящийся червь. На скомпрометированные Windows-машины тоже устанавливается майнинговое ПО, что доказывает, что основной целью злоумышленников является именно добыча криптовалюты.

Майнеры атакуют серверы Windows, Apache Solr и Redis, используя эксплоит АНБ

Но группировка, стоящая за атаками ReddisWannaMine, далеко не единственный игрок, действующий на данном поле. Аналитики ISC SANS и Morphus Labs пишут, что активная вредоносная кампания также развернута против уязвимых серверов Apache Solr, на которых не установлен патч для уязвимости CVE-2017-12629.

Как и в случае с ReddisWannaMine, злоумышленники обнаруживают уязвимые машины, эксплуатируют баг, исправленный разработчиками Apache Software Foundation еще в октябре 2017 года, а затем заражают устройства майнером криптовалюты Monero.

По данным специалистов, за данной кампанией стоит та же хак-группа, которая в январе 2018 года атаковала серверы Oracle WebLogic, устанавливая на них майнинговую малварь. Так как атаки на Oracle WebLogic перестали приносить доход, злоумышленники выбрали другую цель. Всего за девять дней, с 28 февраля по 8 марта 2018 года, группировка скомпрометировала более 1700 уязвимых серверов, 1416 из которых были серверами Apache Solr.

Майнеры атакуют серверы Windows, Apache Solr и Redis, используя эксплоит АНБ

Эксперты пишут, что подсчитать «доходы»  злоумышленников не представляется возможным, так как атакующие используют прокси, для доступа к майнинговым пулам и тщательно скрывают адреса своих Monero-кошельков.