Los investigadores de seguridad cibernética han descubierto una nueva campaña que explota una falla de seguridad conocida que impacta el servidor apache http para entregar un minero de criptomonedas llamado Linuxsys.
La vulnerabilidad en cuestión es CVE-2021-41773 (puntuación CVSS: 7.5), una vulnerabilidad de transversal de ruta de alta severidad en la versión 2.4.49 del servidor Apache HTTP que podría dar lugar a la ejecución de código remoto.
«El atacante aprovecha los sitios web legítimos comprometidos para distribuir malware, lo que permite la entrega sigilosa y la evasión de la detección», dijo Vulncheck en un informe compartido con Hacker News.
La secuencia de infección, observada a principios de este mes y que se origina en una dirección IP de Indonesia 103.193.177 (.) 152, está diseñada para eliminar una carga útil de la próxima etapa de «RepositoryLinux (.) Org» usando curl o wget.
La carga útil es un script de shell responsable de descargar el minero de criptomonedas de Linuxsys de cinco sitios web legítimos diferentes, lo que sugiere que los actores de amenaza detrás de la campaña han logrado comprometer la infraestructura de terceros para facilitar la distribución del malware.
«Este enfoque es inteligente porque las víctimas se conectan a hosts legítimos con certificados SSL válidos, lo que hace que la detección sea menos probable», señaló Vulncheck. «Además, proporciona una capa de separación para el sitio de descarga (‘RepositoryLinux (.) Org’) ya que el malware en sí no está alojado allí».
Los sitios también alojan otro script de shell llamado «cron.sh» que asegura que el minero se inicie automáticamente en un reinicio del sistema. La firma de ciberseguridad dijo que también identificó dos ejecutables de Windows en los sitios pirateados, lo que plantea la posibilidad de que los atacantes también persigan el sistema operativo de escritorio de Microsoft.
Vale la pena señalar que los ataques que distribuyen el minero de Linuxsys han explotado previamente un defecto de seguridad crítico en Osgeo Geoserver Geotools (CVE-2024-36401, puntaje CVSS: 9.8), según lo documentado por Fortinet Fortiguard Labs en septiembre de 2024.
Curiosamente, el script de Shell se redujo después de la explotación de la falla se descargó de «RepositoryLinux (.) Com», con comentarios en el código fuente escrito en Sundanese, un idioma indonesio. El mismo script de shell se ha detectado en la naturaleza desde diciembre de 2021.
Algunas de las otras vulnerabilidades explotadas para entregar el minero en los últimos años incluyen –
- CVE-2023-22527, una vulnerabilidad de inyección de plantilla en Atlassian Confluence Data Center y Confluence Server
- CVE-2023-34960, una vulnerabilidad de inyección de comandos en Chamilo Learning Management Systems (LMS)
- CVE-2023-38646, una vulnerabilidad de inyección de comando en Metabase
- CVE-2024-0012 y CVE-2024-9474, son vulnerabilidades de escalada de autenticación y privilegios en firewalls de Palo Alto Networks
«Todo esto indica que el atacante ha estado llevando a cabo una campaña a largo plazo, empleando técnicas consistentes como la explotación de N-Day, el contenido de organización en hosts comprometidos y minería de monedas en máquinas víctimas», dijo Vulncheck.
«Parte de su éxito proviene de una orientación cuidadosa. Parecen evitar los honeypots de baja interacción y requieren una alta interacción para observar su actividad. Combinado con el uso de hosts comprometidos para la distribución de malware, este enfoque ha ayudado en gran medida al atacante a evitar el escrutinio».
Servidores de intercambio dirigidos por GhostContainer Backdoor
El desarrollo se produce cuando Kaspersky reveló los detalles de una campaña que se dirige a entidades gubernamentales en Asia, probablemente con una falla de seguridad de N-Day en Microsoft Exchange Server, para implementar una puerta trasera a medida doblada Ghostcontainer. Se sospecha que los ataques pueden haber explotado un error de ejecución de código remoto ahora parchado en Exchange Server (CVE-2020-0688, puntaje CVSS: 8.8).
La «puerta trasera sofisticada y multifuncional» puede «extenderse dinámicamente con la funcionalidad arbitraria a través de la descarga de módulos adicionales», dijo la compañía rusa, y agregó «la puerta trasera otorga a los atacantes el control total sobre el servidor de Exchange, lo que les permite ejecutar un rango de actividades maliciosas».
El malware está equipado para analizar las instrucciones que pueden ejecutar shellcode, descargar archivos, leer o eliminar archivos, ejecutar comandos arbitrarios y cargar código .NET BYTE adicional. También incorpora un proxy web y un módulo de túnel.
Se sospecha que la actividad puede haber sido parte de una campaña avanzada de amenaza persistente (APT) dirigida a organizaciones de alto valor, incluidas las empresas de alta tecnología, en Asia.
No se sabe mucho sobre quién está detrás de los ataques, aunque se evalúa que son altamente calificados debido a su comprensión profunda del servidor de Microsoft Exchange y su capacidad para transformar el código disponible en público en herramientas de espionaje avanzadas.
«La puerta trasera GhostContainer no establece una conexión con ninguna infraestructura (de comando y control)», dijo Kaspersky. «En cambio, el atacante se conecta al servidor comprometido desde el exterior, y sus comandos de control están ocultos dentro de las solicitudes web de intercambio normales».
