z0Miner è un malware di cryptomining individuato lo scorso novembre dal team di sicurezza di Tencent, che lo ha visto infettare migliaia di server sfruttando un paio di vulnerabilità di Weblogic (CVE-2020-14882 e CVE-2020-14883).
Il malware è stato progettato per cercare e tentare di infettare nuove macchine sfruttando le vulnerabilità RCE (Remote Command Execution) sui server che ospitano ElasticSearch e Jenkins. E deve avere un certo successo, visto che esiste una botnet di cryptomining ormai da diversi mesi, che sta attaccando e prendendo il controllo di diversi server per minare la criptovaluta Monero (XMR).
z0Miner sta scandagliando Internet alla ricerca di macchine non patchate per le vulnerabilità, alcune piuttosto vecchie. Per esempio, per i server ElasticSearch, la botnet fa leva sulla CVE-2015-1427, che consente ad un potenziale utente non autorizzato di bypassare la sandbox ed eseguire comandi arbitrari via script.
Certo, sembra quasi incredibile che qualcuno non aggiorni server per lustri, ma è una situazione più diffusa di quanto si pensi comunemente.
Una volta che z0Miner riesce a raggiungere il sistema, per prima cosa scarica uno script e, come già fanno altri malware di questo tipo, si sbara di altri concorrenti, altri cryptominer presenti sul sistema. Infine, reimposta i cronjob per eseguire periodicamente i suoi script malevoli, scaricandoli direttamente da Pastebin.
La fase successiva prevede il download di un kit per il mining:
- un miner XMRig;
- un file di configurazione;
- uno script di avvio e l’avvio dello stesso in background.
Secondo le stime di Tencent, finora z0Miner è riuscito a prendere il controllo di oltre 5.000 server e, studiando gli ultimi campioni, il miner si stava espandendo anche sulla rete “interna” dei server già compromessi, via SSH.
Dobbiamo davvero ripetere di aggiornare il software?
Affascinata sin da piccola dai computer (anche se al massimo avevo un cluster di Mio Caro Diario), sono un’opensourcer per caso, da quando sono incappata in Mandrake. Legacy dentro. Se state leggendo un articolo amarcord, probabilmente l’ho scritto io.
Lascia un commento