Ваш компьютер тормозит? Проверьте, не майнит ли он крипту для хакеров
NewsMakerКогда вентиляторы работают на максимум, а задач нет — пора бить тревогу.
Специалисты из VulnCheck выявили новую вредоносную кампанию, использующую уязвимость CVE-2021-41773 в Apache HTTP Server версии 2.4.49. Эта брешь позволяет злоумышленникам удалённо выполнять код, обходя защиту путём обхода путей к файлам. Основной целью атак является установка криптомайнера Linuxsys.
Распространение вредоносного кода осуществляется через взломанные легитимные сайты, с которых скачивается shell-скрипт. Он, в свою очередь, загружает майнер с пяти разных ресурсов. Использование проверенных SSL-сертификатов на этих хостах усложняет его обнаружение, а распределённая структура доставки маскирует источник угрозы. Для автозапуска используется дополнительный скрипт «cron.sh», активирующий майнер после перезагрузки системы. Были также обнаружены Windows-исполняемые файлы, указывающие на возможную атаку на ОС от Microsoft.
Ранее этот майнер распространялся через уязвимость CVE-2024-36401 в GeoTools от OSGeo GeoServer. Тогда вредоносный код также распространялся через похожие ресурсы, а в его коде нашли комментарии на суданском языке. Аналогичные скрипты были замечены в сети ещё в декабре 2021 года.
Кроме того, установлены и другие эксплуатируемые уязвимости:
Одновременно экспертами Fortinet зафиксировано усиление активности ботнета H2Miner, который распространяет троян Kinsing. Он отключает антивирусные процессы и доставляет XMRig — популярный майнер криптовалюты Monero. На заражённые системы также загружается программа-вымогатель Lcrypt0rx, написанная на VBScript. Она блокирует важные системные инструменты Windows, отключает защитное ПО и пытается уничтожить загрузочную запись MBR. Однако при этом не сохраняет ключи шифрования и использует примитивный XOR-алгоритм, что делает восстановление файлов возможным без выкупа.
Lcrypt0rx также скачивает дополнительные вредоносные модули: Cobalt Strike, ScreenConnect, DCRat и воришек данных. Поведение вируса указывает на его роль скорее как инструмента запугивания, чем полноценного шифровальщика. По мнению Fortinet, это может быть частью тактики отвлечения внимания от основного майнинга.
Обнаруженные параллели между кампаниями Linuxsys и H2Miner свидетельствуют о нарастающей коммерциализации киберпреступности. Доступ к готовым инструментам и использованию ИИ снижает технический порог входа и позволяет запускать масштабные атаки даже с минимальными знаниями. Особенно разрушительное воздействие подобные кампании оказывают на облачные инфраструктуры, повышая расходы и риски для бизнеса.
Специалисты из VulnCheck выявили новую вредоносную кампанию, использующую уязвимость CVE-2021-41773 в Apache HTTP Server версии 2.4.49. Эта брешь позволяет злоумышленникам удалённо выполнять код, обходя защиту путём обхода путей к файлам. Основной целью атак является установка криптомайнера Linuxsys.
Распространение вредоносного кода осуществляется через взломанные легитимные сайты, с которых скачивается shell-скрипт. Он, в свою очередь, загружает майнер с пяти разных ресурсов. Использование проверенных SSL-сертификатов на этих хостах усложняет его обнаружение, а распределённая структура доставки маскирует источник угрозы. Для автозапуска используется дополнительный скрипт «cron.sh», активирующий майнер после перезагрузки системы. Были также обнаружены Windows-исполняемые файлы, указывающие на возможную атаку на ОС от Microsoft.
Ранее этот майнер распространялся через уязвимость CVE-2024-36401 в GeoTools от OSGeo GeoServer. Тогда вредоносный код также распространялся через похожие ресурсы, а в его коде нашли комментарии на суданском языке. Аналогичные скрипты были замечены в сети ещё в декабре 2021 года.
Кроме того, установлены и другие эксплуатируемые уязвимости:
- CVE-2023-22527 — в Atlassian Confluence;
- CVE-2023-34960 — в Chamilo LMS;
- CVE-2023-38646 — в Metabase;
- CVE-2024-0012 и CVE-2024-9474 — в Palo Alto Networks.
Одновременно экспертами Fortinet зафиксировано усиление активности ботнета H2Miner, который распространяет троян Kinsing. Он отключает антивирусные процессы и доставляет XMRig — популярный майнер криптовалюты Monero. На заражённые системы также загружается программа-вымогатель Lcrypt0rx, написанная на VBScript. Она блокирует важные системные инструменты Windows, отключает защитное ПО и пытается уничтожить загрузочную запись MBR. Однако при этом не сохраняет ключи шифрования и использует примитивный XOR-алгоритм, что делает восстановление файлов возможным без выкупа.
Lcrypt0rx также скачивает дополнительные вредоносные модули: Cobalt Strike, ScreenConnect, DCRat и воришек данных. Поведение вируса указывает на его роль скорее как инструмента запугивания, чем полноценного шифровальщика. По мнению Fortinet, это может быть частью тактики отвлечения внимания от основного майнинга.
Обнаруженные параллели между кампаниями Linuxsys и H2Miner свидетельствуют о нарастающей коммерциализации киберпреступности. Доступ к готовым инструментам и использованию ИИ снижает технический порог входа и позволяет запускать масштабные атаки даже с минимальными знаниями. Особенно разрушительное воздействие подобные кампании оказывают на облачные инфраструктуры, повышая расходы и риски для бизнеса.