Z0Miner

La botnet z0Miner (zoMiner) parece haber actualizado sus trucos amenazantes para incluir ahora vulnerabilidades de hace años que afectan a los servidores ElasticSearch y Jenkins sin parches. La botnet fue descubierta el año pasado por los investigadores de Qihoo 360 Netlab, el equipo de ciberseguridad de Tencent, cuando fue sorprendida comprometiendo más de 5,000 servidores al explotar dos vulnerabilidades RCE de preautorización de Weblogic rastreadas como CVE-2020-14882 y CVE-2020-14883. Los atacantes escanearon lotes de servidores en la nube y luego se infectaron los objetivos adecuados a través de paquetes de datos cuidadosamente diseñados.

En los nuevos ataques z0Miner, los piratas informáticos han comenzado a buscar servidores ElasticSearch vulnerables a través de un exploit RCE (ejecución remota de código) rastreado como CVE-2015-1427, mientras que un exploit RCE más antiguo se utiliza para infectar servidores Jenkins. Después de violar ese sistema objetivo con éxito, la amenaza de malware limpiará el entorno de cualquier competencia potencial descargando un shell. A continuación, se establecerá un trabajo cron que periódicamente recupera y ejecuta scripts corruptos de Pastebin. El paso final de la cadena de ataque ve la entrega de la carga útil minera. Z0Miner contacta con tres URL diferentes y descarga un archivo de configuración, un script de shell para iniciar el cripto-minero y una variante del script de minero XMRig.

Las actividades actuales de la botnet ya han logrado generar aproximadamente 22 monedas XMR (Monero) para los piratas informáticos, por un valor de alrededor de $ 4800 al tipo de cambio actual de la criptomoneda. Sin embargo, las ganancias ilícitas de los piratas informáticos podrían ser significativamente más altas, ya que esa es la suma contenida en una billetera de señales, mientras que la campaña de cripto minería puede incluir varias como parte de sus actividades.