攻击者操纵GitHub与Netlify分发挖矿木马
发布时间:2021-12-15 06:04:02 所属栏目:安全 来源:互联网
导读:今年早些时候,Apache HTTP 服务器被披露存在安全漏洞(CVE-2021-41773),攻击者可以利用该漏洞进行远程命令执行。官方给出的修复方案并不完全,在发现了可以绕过后该漏洞编码再次确认为 CVE-2021-42013。 在对滥用该漏洞的恶意样本进行分析时,研究人员发
|
今年早些时候,Apache HTTP 服务器被披露存在安全漏洞(CVE-2021-41773),攻击者可以利用该漏洞进行远程命令执行。官方给出的修复方案并不完全,在发现了可以绕过后该漏洞编码再次确认为 CVE-2021-42013。 在对滥用该漏洞的恶意样本进行分析时,研究人员发现了多个同类的漏洞利用,这些攻击与挖掘门罗币有关。攻击者将恶意软件部署在 GitHub 和 Netlify 中,分析人员已经将滥用行为通知官方删除了账户。 漏洞情况 通过蜜罐分析,攻击者利用 2020 年和 2021 年披露的漏洞针对多个产品进行挖矿活动,具体如下所示。 Atlassian Confluence(CVE-2021-26084 和 CVE-2021-26085) F5 BIG-IP(CVE-2020-5902 和 CVE-2021-22986) VMware vCenter(CVE-2021-22005、CVE-2021-21985、CVE-2021-21972 和 CVE-2021-21973) Oracle WebLogic Server(CVE-2020-14882、CVE-2020-14750 和 CVE-2020-14883) Apache HTTP Server(CVE-2021-40438、CVE-2021-41773 和 CVE-2021-42013) 在路径 $DIR 中检查文件 java.xnk.bionic,如果文件不存在则使用 wget 下载 bionic 挖矿程序和 config.json(挖矿配置程序)。为下载的二进制文件分配可执行权限,在维持后台执行。 类似的,重复下载并执行以下文件: focal as java.xnk.focal freebsd as java.xnk.freebsd linuxstatic as java.xnk.linux xenial as java.xnk.xenial xmr-stak as java.xnk.stak image.png-443.3kB 执行挖矿程序 结论 从失陷情况来看,攻击者将会继续利用这些漏洞攻击存在漏洞的服务器。挖矿程序可以在 Linux 平台和 Windows 平台上进行挖矿,而且攻击者仍然会利用 GitHub 和 Netlify 等平台用作部署渠道。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号