کمیته رکن چهارم – پژوهشگران امنیتی یک خانوادهی بدافزار جدید را شناسایی کردهاند که کارگزارهای وب را در سراسر جهان را هدف قرار میدهد و تلاش میکند تا آنها را با یک باتنت استخراج ارز مجازی آنها را تحت تاثیر قرار دهد.
چک پوینت اعلام کرد: «این بدافزار که RubyMiner نام دارد، چند هفته پیش در حالی که تلاش میکرد تا یک حملهی بزرگ را در کارگزارهای وب آمریکا، آلمان، انگلیس، نروژ، و سوئد راهاندازی کند، کشف شد. مهاجمانی که پشت این بدازفزار هستند، تلاش کردند تا در طی یک روز تقریبا یک سوم شبکه را در سطح جهانی به خطر بیندازند.»
مهاجمان در طی این حمله هر دو کارگزارهای ویندوز و لینوکس را هدف قرار میدهند و سعی میکنند تا با بهرهبرداری از آسیبپذیریهای قدیمی که در سالهای ۲۰۱۲ و ۲۰۱۳ میلادی شناسایی و وصله شدهاند، یک استخراجکنندهی ارز مجازی را نصب کنند. این مهاجمان به دنبال این نبودند که بتوانند به طور مخفیانه سامانهها را تحت تاثیر قرار دهند، بلکه آنها میخواستند در سریعترین زمان ممکن به تعداد زیادی از کارگزارهای وب HTTP آسیبپذیر حمله کنند.
این پویش مخرب آسیبپذیریهایی را در نرمافزارهای PHP، Microsoft IIS، Ruby on Rails هدف قرار میدهد. علیرغم تلاشهای زیاد مهاجمان، در ۲۴ ساعت آغازین حملات فقط ۷۰۰ کارگزار در سراسر جهان تحت تاثیر قرار گرفتهاند.
این حمله روی نرمافزار Ruby on Rails تلاش کرده است تا از یک آسیبپذیری با شناسهی CVE-۲۰۱۳-۰۱۵۶ که یک اشکال اجرای کد از راه دور است، بهرهبرداری کند. مهاجمان یک باردادهی رمزنگاریشدهی base۶۴ را در قالب یک درخواست POST توزیع کرده و سعی میکنند تا مفسر Ruby روی کارگزار هدف آن را فریب دهند تا این درخواست اجرا کند.
بار داده یک اسکریپت بَش است که برای اضافه کردن یک کرونجاب که هر ساعت اجرا میشود و بارگیری یک پروندهی robots.txt طراحی شده است، این پرونده حاوی یک اسکریپت شِل است که برای واکشی و اجرای استخراجکنندهی ارز مجازی طراحی شده است. نه تنها فرآیند استخراج بلکه تمام عملیات بارگیری و اجرا نیز هر ساعت اجرا میشوند.
چک پوینت اظهار کرد: «این مسأله به مهاجم اجازه میدهد که یک کلید مرگ «kill switch» فوری را انجام دهد. اگر مهاجم بخواهد تا به این فرآیند در دستگاههای آلوده پایان دهد، تمام چیزی که نیاز دارد این است که تغییراتی را در پروندهی robots.txt موجود در کارگزار وب آسیبدیده اعمال کند. در عرض یک دقیقه، تمام دستگاههایی که این پرونده را دوباره بارگیری میکنند، پروندههایی بدون استخراجکنندهی ارز مجازی دریافت خواهند کرد.»
بدافزار نصب شده در تمام کارگزارهای آسیبدیده XMRig است، این بدافزار یک استخراجکنندهی ارز مجازی است که در سپتامبر سال ۲۰۱۷ میلادی در یک حمله که از یک آسیبپذیری در نسخه ی ۶.۰ نرمافزار Microsoft IIS بهرهبرداری میکرد، مورد استفاده قرار گرفت.
یکی از دامنههایی که در پویش مخربی که اخیرا شناسایی شده استفاده میشود، lochjol.com است که پیش از این نیز در یک حمله در سال ۲۰۱۳ میلادی مورد استفاده قرار گرفته بود. این حمله همچنین از آسیبپذیری نرمافزار Ruby on Rails سوء استفاده میکرد و نیز دارای ویژگیهای مشترکی با حادثهی فعلی است، اما پژوهشگران نمیتوانند ارتباط بیشتری بین این دو حمله پیدا کنند، به خصوص که به نظر میرسد هدف این دو حمله متفاوت باشد.
منبع : news.asis.io
