Aanvallers installeren cryptominer via Struts- en NSA-exploits

[Captain Kirk]

Onderzoekers hebben een nieuwe campagne ontdekt waarbij aanvallers via verschillende exploits cryptominers op systemen en netwerken installeren Het gaat om een exploit die gebruik maakt van een beveiligingslek in Apache Struts dat in maart van dit jaar werd gepatcht, zo meldt netwerkfabrikant F5 Networks.

Het is dezelfde kwetsbaarheid waardoor ook de Amerikaanse kredietbeoordelaar Equifax werd gehackt. Verder maken de aanvallers ook gebruik van een exploit voor een beveiligingslek in het DotNetNuke (DNN) contentmanagementsysteem. Voor deze kwetsbaarheid is sinds juli een update beschikbaar. De aanvallen zijn zowel tegen Linux- als Windows-systemen gericht. Afhankelijk van de aangevallen omgeving wordt er na een succesvolle infectie een andere "payload" gebruikt.

Wat verder aan de campagne opvalt is dat bij een succesvolle infectie van de Struts- of DNN-server de EternalBlue- en EternalSynergy-exploits worden gebruikt. Het gaat om twee exploits die bij de Amerikaanse geheime dienst NSA werden gestolen en begin dit jaar op internet verschenen. Op deze manier kunnen ongepatchte Windows-systemen in het netwerk met de "mule" malware worden geïnfecteerd. Deze malware is een cryptominer die besmette systemen naar de cryptocurrency Monero laat minen. Hoeveel systemen er inmiddels zijn besmet is onbekend. Een van de Monero-wallets die de aanvallers gebruiken zou inmiddels voor 8500 dollar aan Monero bevatten.

 

 

bron: security.nl