Le botnet z0Miner cible les serveurs ElasticSearch et Jenkins non-patchés

0

Le botnet de crypto-minage, z0Miner, repéré l’année dernière cible et tente de prendre le contrôle des serveurs Jenkins et ElasticSearch pour miner la crypto-monnaie Monero.

z0Miner est une souche de logiciels malveillants de crypto-minage repéré en Novembre par l’équipe de sécurité Tencent, qui a observé l’infection de milliers de serveurs à cause de l’exploitation d’une vulnérabilité de Weblogic.

Maintenant, les pirates informatiques ont mis à niveau le malware pour numériser et tenter d’infecter de nouveaux appareils en exploitant les vulnérabilités d’exécution de commande à distance qui affectent les serveurs ElasticSearch et Jenkins.

z0miner recherche des serveurs laissés non patchés pendant des années

Selon un rapport publié par des chercheurs de Network Security Research Lab (360 Netlab) de Qihoo 360, z0Miner recherche maintenant des serveurs non patchés contre les vulnérabilités traitées en 2015 et avant.

Le botnet utilise des exploits ciblant une vulnérabilité d’exécution de code à distance de ElasticSearch identifiée comme CVE-2015-1427 et une faille d’exécution de code à distance plus ancienne impactant les serveurs Jenkins.

Après avoir compromis un serveur, le malware va d’abord télécharger un script shell malveillant, commence à chasser et éliminer les crypto-mineurs précédemment déployés.

Ensuite, il met en place une nouvelle entrée cron pour saisir périodiquement et exécuter des scripts malveillants de Pastebin.

L’étape suivante du flux d’infection consiste à télécharger un kit d’extraction contenant un script de mineur XMRig, un fichier config, un script de démarrage, et de commencer à extraire la crypto-monnaie en arrière-plan.

360 Netlab a constaté que l’un des portefeuilles Monero utilisés par le botnet z0Miner contient environ 22 XMR (un peu plus de 3800€).

Toutefois, même si cela ne semble pas être beaucoup, les botnets de crypto-minage utilisent régulièrement plus d’un portefeuille pour collecter de la crypto-monnaie gagné illégalement qui peut rapidement s’additionner.

Selon les statistiques de honeypots (pots de miel) partagés par 360 Netlab, l’activité du botnet z0Miner a recommencé à la mi-janvier après une courte pause début janvier.

z0miner

Des milliers d’appareils déjà compromis

z0Miner est devenu actif l’année dernière et a été repéré par l’équipe de sécurité Tencent alors qu’il exploitait deux failles d’exécution de code à distance de Weblogic identifiées comme CVE-2020-14882 et CVE-2020-14883 pour se propager sur d’autres appareils.

Selon les estimations de Tencent Security Team, le pirate informatique qui contrôle z0Miner a compromis et rapidement pris le contrôle de 5000 serveurs.

Les hackers ont scanné les serveurs cloud pour trouver des serveurs Weblogic non patchés et les ont compromis en envoyant des « paquets de données soigneusement construits » pour exploiter les périphériques vulnérables.

Après la compromission, z0Miner a utilisé une logique d’attaque similaire à celle observée par les chercheurs de 360 Netlab, a gagné en persistance via le crontab et a commencé à extraire de la cryptomonnaie Monero.

L’échantillon de z0Miner trouvé par Tencent Security Team en Novembre 2020 se répandait également latéralement sur le réseau d’appareils déjà compromis via SSH.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire