Uma nova campanha de mineração ataca uma vulnerabilidade antiga de servidores Linux

A Trend Micro descobriu uma nova campanha de mineração de critptomoedas que ataca especificamente servidores Linux explorando a falha CVE-2013-2618, que explora um problema no plug-in Network Weathermap do Cacti que é utilizado pelos administradores de sistemas para visualizar atividades de rede.

E este grupo já conseguiu com este ataque fazer quase US$75.000 com a instalação de um minerador Monero em servidores Linux vulneráveis.

E é incrível que uma falha que tenha já cinco anos esteja ainda sendo explorada e de acordo com a Trend Micro esta campanha está vinculada a uma anterior que usava o Malware JenkinsMiner.

 

“Os operadores desta campanha estavam explorando a CVE-2013-2618 que é uma vulnerabilidade já obsoleta do Plug-in Network WeatherMap do Cati que os administradores de rede usam para visualizar atividade de rede”, diz a análise publicada pela Trend Micro.

“Porque eles estão explorando uma falha antiga de segurança: o Network WeatherMap só tem duas vulnerabilidades relatadas publicamente até agora, ambas de junho de 2014. É possível que estes invasores estejam aproveitando não somente de uma falha de segurança para a qual a exploração já está disponível mas também do atraso da aplicação de patchs que ocorrem em organizações que estejam usando esta ferramenta de código aberto”.

A falha pode ter sido explorada por invasores para executar um código arbitrário em sistemas vulneráveis, e, neste caso eles baixaram e instalaram uma versão personalizada do XMRig, um legítmo software de mineração da Monero (dada.x86_64 em 01/28/2018, anteriormente chamado de xig ou nkrb).

O XMRig suporta sistemas operacionais Windows e LInux de 32 e 64 bits.

Para ganhar persistência os hackers modificaram as tarefas locais do cron para acionar um script bash “watchd0g” a cada 3 minutos e o script verifica se o minerador monero ainda está ativo e o reinicia, caso esteja desativado.

“O código é escrito no arquivo /etc/rc.local o que significa que toda vez que o sistema é reinciado, watchd0g.sh é executado. A modificação do /etc/crontab resulta na execução do watchd0g.sh de 3 em 3 minutos. Em seguida ele modifica o parâmetro do kernel do Linux vm.nr_hugepages para o valor recomendado para a mineração do Monero (XMR).
Ele também garante que o processo watchd0g.sh seja executado e efetue o download novamente ou o execute caso o arquivo seja parado.” – continua a análise.

Os pesquisadores analisaram cinco amostras de malware que o levaram a dois nomes de usuários de login únicos, correspondentes a carteiras Monero para as quais os pagamentos do pool de mineração são enviados.

De acordo com a Trend Micro os hackers conseguiram gerar 320 XMR ( aproximadamente US$75.000 ) e a maioria dos servidores Linux estavam localizados no Japão ( 12%), Taiwan (10%), China (10%) e Estados Unidos (9%).

A Trend Micro recomenda manter os dados do Cacti internos a sua corporação e aplicar sempre os últimos patches disponíveis.

“Embora isto permite que os administradores de sistemas ou de rede monitorem de maneira conveniente seus ambientes ( com um simples bookmark no seu navegador, por exemplo ), ele faz o mesmo com os vetores de ameaças” , concluiu a Trend Micro.

Portanto, caso você tenha servidores Cacti públicos é bom ficar de olho para ter certeza que não há problemas com sua infraestrutura.