z0Miner, botnet che attacca i server ElasticSearch e Jenkins
z0Miner è un malware di cryptomining individuato lo scorso novembre dal team di sicurezza di Tencent, che lo ha visto infettare migliaia di server sfruttando un paio di vulnerabilità di Weblogic (CVE-2020-14882 e CVE-2020-14883).
Il malware è stato progettato per cercare e tentare di infettare nuove macchine sfruttando le vulnerabilità RCE (Remote Command Execution) sui server che ospitano ElasticSearch e Jenkins. E deve avere un certo successo, visto che esiste una botnet di cryptomining ormai da diversi mesi, che sta attaccando e prendendo il controllo di diversi server per minare la criptovaluta Monero (XMR).
z0Miner sta scandagliando Internet alla ricerca di macchine non patchate per le vulnerabilità, alcune piuttosto vecchie. Per esempio, per i server ElasticSearch, la botnet fa leva sulla CVE-2015-1427, che consente ad un potenziale utente non autorizzato di bypassare la sandbox ed eseguire comandi arbitrari via script.
Certo, sembra quasi incredibile che qualcuno non aggiorni server per lustri, ma è una situazione più diffusa di quanto si pensi comunemente.
Una volta che z0Miner riesce a raggiungere il sistema, per prima cosa scarica uno script e, come già fanno altri malware di questo tipo, si sbarazza di altri concorrenti, altri cryptominer presenti sul sistema. Infine, reimposta i cronjob per eseguire periodicamente i suoi script malevoli, scaricandoli direttamente da Pastebin.
La fase successiva prevede il download di un kit per il mining:
- un miner XMRig;
- un file di configurazione;
- uno script di avvio e l’avvio dello stesso in background.
Secondo le stime di Tencent, finora z0Miner è riuscito a prendere il controllo di oltre 5.000 server e, studiando gli ultimi campioni, il miner si stava espandendo anche sulla rete “interna” dei server già compromessi, via SSH.
Dobbiamo davvero ripetere di aggiornare il software?
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.