Уязвимость в Apache Struts принесла хакерам $100 тыс.

image

Теги: уязвимость, Linux, Windows, кибератака, вымогательское ПО

Преступники эксплуатируют уязвимость в Apache Struts для заражения Windows-серверов вымогателем Cerber.  

В течение одного месяца по крайней мере десять хакерских группировок взламывали системы с web-приложениями, созданными с помощью фреймворка Apache Struts. Злоумышленники устанавливали бэкдоры, ботов для DDoS-атак, ПО для майнинга криптовалюты и программы-вымогатели в зависимости от атакуемой ОС (Windows или дистрибутивов Linux).

В ходе атак киберпреступники эксплуатировали уязвимость нулевого дня в Apache Struts, раскрытую и исправленную в прошлом месяце. Уязвимость CVE-2017-5638 позволяет выполнять команды на сервере путем загрузки контента в используемый в некоторых приложениях Struts компонент Jakarta Multipart.

Как сообщают эксперты компании F5, атаки начались сразу же после раскрытия уязвимости исследователями Cisco Talos и публикации ряда PoC-эксплоитов. С начала марта текущего года атаки с эксплуатацией уязвимости постепенно эволюционировали. Вначале хакеры атаковали реализации Struts только на Linux-серверах, где затем устанавливали вредоносное ПО для осуществления DDoS-атак PowerBot (также известно как PerlBot и Shellbot). Позднее некоторые группировки стали устанавливать майнер «minerd» для генерирования криптовалюты Monero. Также были зафиксированы атаки с использованием бэкдора Perl.

По данным экспертов технологического института SANS, после 20 марта одна из группировок начала атаковать реализации Struts на Windows-серверах. Используя слегка модифицированный эксплоит, злоумышленники выполняли различные shell-команды для запуска утилиты BITSAdmin, а затем через FTP загружали вымогательское ПО Cerber. Программа шифровала хранящиеся на системе файлы и отображала уведомление с требованием выкупа за их восстановление.

По словам исследователей, для нескольких кампаний злоумышленники использовали один и тот же биткойн-кошелек. На их счету числится 84 биткойна (около $100 тыс.). Ежедневно кошелек пополняется в среднем на 2,2 биткойна (около $2,6 тыс.).

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и Яндекс.ДзенЯндекс.Дзен, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.