Ботнет z0Miner нацелился на серверы Jenkins и ElasticSearch

Ботнет z0Miner нацелился на серверы Jenkins и ElasticSearch

Вредонос атакует серверы через уязвимость удаленного выполнения кода в ElasticSearch и старые уязвимости в Jenkins.

Обнаруженный в прошлом году ботнет z0Miner теперь атакует серверы Jenkins и ElasticSearch для майнинга криптовалюты Monero (XMR).

Вредоносное ПО z0Miner для майнинга криптовалюты было обнаружено в ноябре прошлого года специалистами из Tencent Security Team. Майнер заразил тысячи серверов, взламывая их через уязвимости в Oracle WebLogic (CVE-2020-14882 и CVE-2020- 14883). Однако согласно новому отчету специалистов подразделения Network Security Research Lab компании Qihoo 360, вредонос начал попытки эксплуатации уязвимостей, исправленных в 2015 году и ранее. В частности, ботнет пытается проэксплуатировать уязвимость удаленного выполнения кода в ElasticSearch и старые уязвимости в Jenkins.

После компрометации сервера z0Miner устанавливает вредоносный shell-скрипт, находит и деактивирует установленные ранее майнеры, если таковые имеются. Далее вредонос добавляет запись в планировщик задач cron, чтобы периодически извлекать из Pastebin и выполнять вредоносные скрипты.

На следующем этапе атаки z0Miner загружает вредоносный инструментарий, состоящий из майнера Monero, конфигурационного файла и стартового скрипта, и начинает майнить криптовалюту.

По данным исследователей, в начале января ботнет на время прекратил активность, но в середине января снова возобновил свои операции.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!