HolesWarm Malware

Le malware HolesWarm est une menace de crypto-mineur multiplateforme qui a réussi à compromettre plus d'un millier d'hôtes cloud en quelques mois seulement. Le taux de réussite élevé de l'infection de la menace est basé sur le fait qu'elle peut changer rapidement de méthode d'attaque. Jusqu'à présent, les chercheurs ont observé que HolesWarm exploitait plus de 20 vulnérabilités différentes trouvées dans de nombreux composants de serveurs de bureau tels qu'Apache Tomcat, Spring Boot, Jenkins, Shiro, UFIDA, Weblogic, Structs2, XXL-JOB et Zhiyuan.

Une fois établi sur le système ciblé, HolesWarm détournera les ressources disponibles et les utilisera pour extraire les pièces Monero. De plus, les attaquants peuvent établir un contrôle sur le serveur compromis et collecter des informations sur le mot de passe.

La capacité de modifier le comportement de la menace et de passer par autant de méthodes d'attaque différentes montre rapidement que l'acteur de la menace dispose d'un savoir-faire et de compétences logicielles suffisants. Dans le même temps, le manque de TTP (Tactiques, Techniques et Procédures) établis indique que le groupe peut avoir été formé récemment. La facilité avec laquelle la menace a été détectée appuie également cette conclusion.

Pour atténuer les risques de subir une violation illicite, les organisations doivent installer les mises à jour nécessaires sur leurs serveurs. Les conséquences de laisser des vulnérabilités connues non corrigées pourraient être dévastatrices et entraîner de graves perturbations opérationnelles.