Z0Miner

Le botnet z0Miner (zoMiner) semble avoir mis à jour ses astuces menaçantes pour inclure désormais des vulnérabilités vieilles de plusieurs années affectant les serveurs ElasticSearch et Jenkins non corrigés. Le botnet a été découvert l'année dernière par les chercheurs de Qihoo 360 Netlab, l'équipe de cybersécurité de Tencent, lorsqu'il a été surpris en train de compromettre plus de 5000 serveurs en exploitant deux vulnérabilités RCE pré-authentification de Weblogic suivies comme CVE-2020-14882 et CVE-2020-14883. Les attaquants ont scanné des lots de serveurs Cloud et toutes les cibles appropriées ont ensuite été infectées par le biais de paquets de données soigneusement conçus.

Dans les nouvelles attaques z0Miner, les pirates ont commencé à rechercher des serveurs ElasticSearch vulnérables via un exploit RCE (exécution de code à distance) suivi comme CVE-2015-1427, tandis qu'un ancien exploit RCE est utilisé pour infecter les serveurs Jenkins. Après avoir violé ce système ciblé avec succès, la menace du logiciel malveillant éliminera l'environnement de toute concurrence potentielle en téléchargeant un shell. Ensuite, une tâche cron qui récupère et exécute périodiquement des scripts corrompus à partir de Pastebin sera établie. La dernière étape de la chaîne d'attaque voit la livraison de la charge utile minière. Z0Miner contacte trois URL différentes et télécharge un fichier de configuration, un script shell pour démarrer le crypto-miner et une variante du script XMRig miner.

Les activités actuelles du botnet ont déjà réussi à générer environ 22 pièces XMR (Monero) pour les pirates, d'une valeur d'environ 4800 $ au taux de change actuel de la crypto-monnaie. Les bénéfices illicites des pirates pourraient cependant être considérablement plus élevés, car il s'agit de la somme contenue dans un portefeuille de signaux, tandis que la campagne de crypto-minage peut en inclure plusieurs dans le cadre de ses activités.