Iskorištavanje Apache2 web servera često uključuje ciljanje ranjivosti kao što su daljinsko izvršavanje koda (RCE) i propuste u prelasku putanje.
Budući da se Apache široko koristi, ovi eksploati predstavljaju značajan rizik za mnoge organizacije koje ne implementiraju pravovremena ažuriranja i sigurnosne mjere.
Elastic istraživači su nedavno identifikovali novi sofisticirani Linux maliciozni softver za koji je otkriveno da iskorištava Apache2 web servere.
Ova sofisticirana kampanja malicioznog softvera za Linux otkrivena je u martu 2024. i utvrđeno je da cilja ranjive servere putem “ Apache2 ” eksploatacije web servera.
Linux maliciozni softver koji iskorištava Apache2 web servere
Napadači su rasporedili složen arsenal uključujući “KAIJI” (za DDoS napade), “RUDEDEVIL” ( rudar za kriptovalute ) i “prilagođeni malver”.
Uspostavili su postojanost koristeći “GSOCKET”, to je alat koji se koristi za šifrovanu komunikaciju.
Ovdje da bi izbjegao otkrivanje, ovaj alat je maskiran kao „procesi kernela“. Kampanja je koristila C2 kanale, Telegram botove i cron poslove za udaljene operacije.
Potencijalna shema rudarenja Bitcoin/XMR koja uključuje “API za kockanje” sugerisala je aktivnosti “pranja novca”.
Napadači su koristili različite tehnike specifične za Linux. I ovdje ispod, spomenuli smo te tehnike:-
- Manipulisanje “SELinux politikama.”
- Korištenje povezivanja za prikrivanje.
- Iskorištavanje CVE-2021-4034 (“pwnkit”) za eskalaciju privilegija.
Koristili su “pspy64” za izviđanje sistema i pokušali da implementiraju prilagođene binarne datoteke (‘apache2’ i ‘apache2v86’) sa stringovima koji su “XOR-kodirani”, iako su se oni suočili sa problemima u izvršavanju.
Sofisticiranost malicioznog softvera bila je očigledna u korištenju višestrukih mehanizama postojanosti kao što su “Systemd services”, “SysVinit skripte” i “bash profile modifikacije”.
Tokom kampanje, napadači su demonstrirali napredno znanje o Linux sistemima tako što su kontinuirano prilagođavali svoj maliciozni softver i taktike kako bi izbjegli otkrivanje, dok su maksimizirali iskorištavanje sistemskih resursa za “vađenje kriptovaluta” i “DDoS” operacije.
Hakeri započeli su svoju operaciju izviđanjem koristeći alate poput “whatserver.sh” za prikupljanje informacija o serveru poput “FQDN-ova” iz “SSL certifikata” i “detalja o sistemu”.
Nakon što nisu uspjeli eskalirati privilegije root-u, uspostavili su postojanost kao “www-data” korisnika, koristeći “GSOCKET” za “ SSL vezu ” prerušenu u “kernel proces” pod nazivom “[mm_percpu_wq]”.
Postavili su ‘cron posao’ za preuzimanje i izvršavanje skripte pod nazivom “ifindyou” svake minute.
Ova skripta je primenila „XMRIG“ koji se povezuje na neminable[.]com bazen za rudarenje Bitcoina za adresu novčanika „1CSUkd5FZMis5NDauKLDkcpvvgV1zrBCBz“.
Maliciozni softver je koristio ime hosta zaražene mašine kao identifikator u procesu rudarenja.
Osim toga, napadači su implementirali i “Python skriptu” koja je bila u interakciji sa “demo verzijom igre za kockanje na mreži”.
Ova skripta je uključivala funkcije za “autentifikaciju korisnika” (‘obteneruid’), “prenos podataka” (‘enviardatos’), “simulaciju klađenja” (‘hacerjugada’) i “rukovanje bonus rundama” (‘completarbono’).
Koristio je “HTTP POST” i “GET” zahtjeve za komunikaciju sa udaljenim serverom na gcp.pagaelrescate[.]com, jer to pomaže u automatizaciji procesa kockanja uz uključivanje kašnjenja za oponašanje ljudskog ponašanja.
Upotreba demo okruženja u skripti sugeriše da se vjerovatno koristila za testiranje ili usavršavanje njihovog pristupa, vjerovatno u pripremi za naprednije napade na platforme za kockanje uživo.
Izvor: CyberSecurityNews