一种新的蠕虫僵尸网络通过GitHub和Pastebin传播,在目标系统上安装加密货币矿工和后门,并扩展了攻击web应用程序、IP摄像机和路由器的能力。
上个月初,Juniper威胁实验室的研究人员记录了一个名为“Gitpaste-12”的加密挖掘活动,该活动使用GitHub来托管包含多达12个已知攻击模块的恶意代码,这些代码通过从Pastebin URL下载的命令执行。
这些攻击发生在2020年10月15日开始的12天中,而Pastebin URL和存储库于2020年10月30日被关闭。
现在,根据Juniper的说法,第二波攻击始于11月10日,使用的是来自不同GitHub存储库的有效负载,其中包括一个Linux加密矿工(ls)、一个包含暴力尝试密码列表的文件(pass),以及一个针对x86_64 Linux系统的本地权限提升漏洞。
最初的感染是通过X10-unix(一种用Go编程语言编写的二进制文件),然后从GitHub下载下一阶段的有效负载。
Juniper的研究员Asher Langton指出,“该蠕虫针对web应用程序、IP摄像头、路由器等进行了一系列广泛的攻击,涉及至少31个已知漏洞(其中7个漏洞在之前的Gitspaste-12示例中也出现过),试图破坏开放的Android Debug Bridge连接和现有恶意软件后门。”
31个漏洞中包括F5 BIG-IP流量管理用户界面(CVE-2020-5902)、Pi-hole Web(CVE-2020-8816)、Tenda AC15 AC1900(CVE-2020-10987)、vBulletin(CVE-2020-17496),以及FUEL CMS(CVE-2020-17463),这些漏洞都是今年曝光的。
值得注意的是,今年10月,人们观察到Mirai僵尸网络的新变种Ttint利用包括CVE-2020-10987在内的两个Tenda路由器零日漏洞,传播能够执行拒绝服务攻击、执行恶意命令、实现远程访问的反向shell的远程访问木马(RAT)。
除了在机器上安装X10-unix和Monero加密挖掘软件外,该恶意软件还打开了监听端口30004和30006的后门,将受害者的外部IP地址上传到私有的Pastebin,并试图连接到5555端口上的Android Debug Bridge连接。
连接成功后,它继续下载Android APK文件(“weixin.apk”),最终安装了一个ARM CPU版本的X10-unix。
据Juniper估计,总共至少有100个不同的宿主被发现传播这种感染。
完整的恶意二进制文件和其他与活动相关的危害指标(IOC)可以在这里访问。
消息及封面来源:The Hacker News ;译者:芋泥啵啵奶茶。
本文由 HackerNews.cc 翻译整理。
转载请注明“转自 HackerNews.cc ”
请登录后发表评论
注册