Майнер распространяется через уязвимость в PHP-плагине Weathermap

Майнер распространяется через уязвимость в PHP-плагине Weathermap

Майнер распространяется через уязвимость в PHP-плагине Weathermap

Исследователи Trend Micro наткнулись на вредоносный майнер, который использует уязвимость в PHP-плагине Weathermap для распространения. Зловред, добывающий цифровую валюту атакует серверы Linux.

Основываясь на результатах мониторинга, эксперты нашли общие черты с уже встречавшейся ранее вредоносной кампанией, в которой принимал участие зловред JenkinsMiner. Разница лишь в том, что новая кампания атакует системы Linux. Примечательно, что злоумышленники используют давно устраненную уязвимость, патч для которой доступен уже почти пять лет.

На графике, представленном ниже, видно, как возрастало количество кибератак с декабря прошлого года по март нынешнего. Также можно наблюдать наиболее атакуемые страны.

Что касается используемой бреши, то речь идет о баге в плагине Weathermap (CVE-2013-2618), который системные администраторы используют для визуализации сетевой активности. Специалисты предполагают, что киберпреступники используют эту брешь из-за доступного эксплойта, рассчитывая на то, что некоторые организации просто не обновили свои системы.

Злонамеренный код создан таким образом, что загруженный вредоносный файл будет запускаться каждые три минуты. Помимо этого, зловред модифицирует параметр ядра Linux vm.nr_hugepages для майнинга криптовалюты Monero (XMR). Также майнер контролирует, чтобы вредоносный процесс был запущен, если он по какой-то причине завершен, вредонос перезапустит его.

Сам майнер детектируется компанией Trend Micro как COINMINER_MALXMR.SM-ELF64, он загружается с того же серврера, что и первоначальный пейлоад, получивший имя watchd0g.sh.

Эксперты проанализировали пять различных образцов, используемых в этой кампании, благодаря чему удалось найти связь с кошельками Monero. По данным исследователей, атакующим удалось собрать 320 XMR, что равно приблизительно 74 677 долларам США. Причем были проанализированы лишь два кошелька, связь с которыми удалось установить. Специалисты полагают, киберпреступники заработали гораздо больше.

Домен t.me вернули в DNS, но Telegram оживет не у всех сразу

Короткий домен Telegram t.me снова вернулся в строй. Реестр доменной зоны .me восстановил его DNS-записи, а статус serverHold, из-за которого адрес фактически исчез из интернета, был снят. Это значит, что ссылки формата t.me снова должны открываться в браузерах.

Правда, не мгновенно у всех: DNS-записи кешируются у провайдеров и разных служб, поэтому полное восстановление может занять до 24 часов.

Ранее домен внезапно исключили из DNS на уровне реестра .me. В WHOIS у него появился статус serverHold, который устанавливает не регистратор, а оператор доменной зоны. В результате короткие ссылки Telegram перестали работать по всему миру, хотя сам мессенджер продолжал функционировать штатно.

На случай затяжного сбоя Telegram уже начал подменять ссылки t.me на telegram.me внутри своих приложений. Старые адреса при этом продолжали открываться непосредственно в мессенджере, но браузеры отправляли пользователей в цифровую пустоту.

Причины отключения домена до сих пор официально не названы. Неизвестно, был ли это технический сбой, юридический вопрос или ручное решение оператора реестра.

Теперь t.me формально вернулся. Осталось дождаться, пока об этом узнают DNS-серверы по всему миру.

RSS: Новости на портале Anti-Malware.ru