Malware Z0Miner se espalhando por servidores Elasticsearch e Jenkins não corrigidos

Um botnet de mineração malicioso descoberto no ano passado passou a direcionar servidores Jenkins e Elasticsearch não corrigidos para minerar a criptomoeda Monero (XMR).

De acordo com pesquisadores de segurança do Network Security Research Lab da Qihoo 360 (360 Netlab), a equipe de segurança da Tencent descobriu o z0Miner no ano passado explorando a vulnerabilidade de execução de comando remoto não autorizado do WebLogic para propagação. Os pesquisadores disseram que várias famílias de malware de mineração se tornaram mais ativas em meio ao aumento nos valores das criptomoedas.

O Z0Miner atingiu no ano passado quando a Tencent Security rastreou o malware explorando dois bugs RCE pré-autenticação do WebLogic rastreados como CVE-2020-14882 e CVE-2020-14883. Na época, a equipe de analistas de segurança estimou que o minerador comprometeu cerca de 5.000 servidores ao enviar "pacotes de dados cuidadosamente construídos" para os sistemas vulneráveis. O malware também se moveu lateralmente via SSH.

Antes disso, a Oracle já havia emitido um boletim de segurança alertando sobre vulnerabilidades nos componentes do WebLogic. Na época, uma pesquisa da empresa de segurança cibernética Rapid7 disse que a falha era “trivial de explorar”.

Os pesquisadores disseram que o malware mudou desde então para procurar e infectar sistemas, explorando vulnerabilidades de execução de comandos remotos no Elasticsearch e no Jenkins.

O malware usa explorações direcionadas a uma vulnerabilidade do Elasticsearch RCE — rastreada como CVE-2015-1427 — e um RCE mais antigo que afeta o servidor Jenkins para comprometer um servidor. Em seguida, ele baixa um script de shell malicioso para interromper qualquer minerador competitivo. Em seguida, ele configura um cron job para baixar e executar periodicamente scripts maliciosos no Pastebin. Os pesquisadores disseram que esses scripts atualmente têm apenas um comando de saída, mas não descartam a possibilidade de que mais comandos maliciosos possam ser adicionados no futuro.

Em seguida, ele baixa e executa seu software de mineração a partir de três URLs contendo um arquivo de configuração de mineração, um minerador XMRig e um script de shell inicial do minerador. Segundo os pesquisadores, foram extraídos mais de 22 XMRs avaliados em US$ 4.600 até agora, mas os criminosos cibernéticos costumam usar muitas carteiras, portanto, o número geral pode ser muito maior.

Os pesquisadores recomendaram que os usuários do Elasticsearch e do Jenkins verifiquem suas instalações e as atualizem para corrigir essas explorações o mais rápido possível. Eles também recomendaram que as organizações verifiquem o Elasticsearch e o Jenkins quanto a processos anormais e conexões de rede e monitorem e bloqueiem IPs e URLs relevantes.