CroniX: La campaña de Cryptojacking que aprovecha la vulnerabilidad de Apache Struts 2

Han pasado solo dos semanas desde que se reveló al público una vulnerabilidad crítica en Apache Struts 2, pero esto no ha impedido que los ciberdelincuentes agreguen rápidamente a su código de ataque prueba de concepto (PoC) a su arsenal.

El error de seguridad, parcheado por Apache Software Foundation, se rastrea ya que CVE-2018-11776 fue causado debido a la validación insuficiente de datos de usuario no confiables en el marco central de Struts. Si se explota, la vulnerabilidad puede conducir a la ejecución remota de código.

Se ha lanzado una versión actualizada que protege a los usuarios del ataque

Sin embargo, aquellos que no han aplicado la actualización de seguridad pueden verse vulnerables a una nueva campaña de criptojacking que utiliza esta vulnerabilidad.

Investigadores de F5 Labs dicen que la vulnerabilidad Apache se está utilizando en una nueva campaña Cryptojacking que afecta a las máquinas Linux.

Los cibercriminales usan el PoC para instalar software de minería

Los cibercriminales están aprovechando el código PoC para la vulnerabilidad de ejecución de código remota crítica Apache Struts 2 publicada en Pastebin para infiltrarse en sistemas Linux con el fin de extraer criptomonedas Monero.

La minería para criptomonedas, como Bitcoin (BTC), Ethereum (ETH) y Monero (XMR), es una actividad completamente legítima que utiliza la potencia de cálculo para encontrar monedas virtuales. Sin embargo, cuando se toma esta potencia de cálculo sin consentimiento, tales actividades se consideran cryptojacking.

¿Cuál es la técnica más común?

La táctica más común utilizada por los criminales en las campañas de criptojacking es el uso de Coinhive que un sistema legítimo de minería que está siendo ampliamente abusado.

En julio, se descubrió una campaña masiva de criptojacking en la que una botnet utilizaba enrutadores MikroTik esclavizados para minar a Monero.

CroniX: El ataque de Apache Struts

Apodado CroniX, el nuevo ataque explota el error de Apache para enviar una única solicitud HTTP al mismo tiempo que inyecta una expresión del Lenguaje de Navegación de Objeto-Gráfico (OGNL) que contiene código JavaScript malicioso.

Este código llama y descarga un archivo adicional que inicia un comando de Powershell en el sistema infectado

El archivo descargado es un script bash que establece el número de "páginas grandes" en la memoria en 128 en preparación para la operación de minería. Los trabajos cron se establecen con el propósito de persistencia; la descarga de un archivo update.sh a diario y un archivo llamado "anacrond" al que se puede llamar para reiniciar el proceso de extracción si se eliminan los archivos maliciosos originales.

Para asegurarse de que la campaña cryptomining no tenga que luchar por los recursos del procesador, el malware luego escanea el sistema y elimina cualquier binario relacionado con cryptominers anteriores.

Una vez que se ha erradicado la competencia, el atacante descarga y ejecuta el minero "XMRigCC" que contiene detalles de configuración incrustados, incluida la información del monedero y la ubicación del grupo de minería.

Un proceso llamado XHide también se implementa para disfrazar al minero como un servicio de Java.

"Considerando que solo han pasado dos semanas desde que se descubrió esta vulnerabilidad, vale la pena señalar qué tan rápido los atacantes están armando las vulnerabilidades y qué tan rápido los ven los investigadores en la red", dice F5 Labs.

"Las empresas deben estar tan atentos como siempre para reparar los sistemas afectados de inmediato".

El año pasado, Equifax culpó a su incumplimiento de datos récord y la exposición de los datos que pertenecen a 147 millones de consumidores a una vulnerabilidad de Apache Struts. La falta de parche de la vulnerabilidad meses después de que fuera emitido un aviso de seguridad le ha costado a la compañía más de 439 millones de dólares hasta la fecha.

Fuente: Netlab