Вы кормите чужую криптоферму. Сами. Добровольно. Деньгами, железом и молчанием

Обнаружена крупная вредоносная кампания, в рамках которой злоумышленники используют уязвимость в Apache HTTP Server для распространения криптомайнера Linuxsys. CVE-2021-41773 (оценка CVSS — 7.5) представляет собой ошибку обхода путей (path traversal) в версии 2.4.49 и позволяет удалённо выполнять произвольный код на уязвимой системе.

По данным VulnCheck, вредонос доставляется через легитимные, но ранее скомпрометированные сайты. Это позволяет атакующим обходить защитные механизмы и не вызывать подозрений. Как отмечает исследователь Джейкоб Бэйнс, эффективность метода обусловлена тем, что доступ осуществляется по HTTPS к ресурсам с действующими сертификатами, внешне не вызывающим тревоги.

Атака начинается с IP-адреса 103.193.177[.]152 (Индонезия), откуда загружается скрипт с сайта repositorylinux[.]org — с использованием curl или wget. Затем скрипт скачивает майнер Linuxsys сразу с пяти разных легальных доменов, что говорит о том, что атакующие встроили вредонос в стороннюю инфраструктуру.

На этих же ресурсах найден файл cron.sh, обеспечивающий автозапуск майнера при перезагрузке системы. Также специалисты обнаружили два исполняемых файла для Windows, что может указывать на попытки расширить кампанию и на десктопные ОС.

Ранее Linuxsys уже распространялся через другие критические бреши. Так, в сентябре 2024 года Fortinet FortiGuard Labs зафиксировали эксплуатацию CVE-2024-36401 (CVSS 9.8) в библиотеке GeoTools, входящей в состав OSGeo GeoServer. Тогда вредоносный скрипт загружался с сайта repositorylinux[.]com и содержал комментарии на суданском языке, что предполагает связь с Индонезией. Эта версия активно используется как минимум с конца 2021 года.

Помимо вышеупомянутых, для доставки Linuxsys применялись и другие уязвимости:

• CVE-2023-22527 — внедрение шаблонов в Atlassian Confluence Server и Data Center
• CVE-2023-34960 — выполнение команд в Chamilo LMS
• CVE-2023-38646 — аналогичный механизм в Metabase
• CVE-2024-0012 и CVE-2024-9474 — обход аутентификации и эскалация привилегий в решениях Palo Alto Networks

Аналитики VulnCheck считают, что перед нами — устойчивая кампания, основанная на эксплуатации уязвимостей n-day, использовании взломанных сайтов и майнинге криптовалюты. Атакующие избегают ловушек с низким уровнем взаимодействия (low interaction honeypots) и действуют только при наличии активной системы, что делает нападения особенно скрытными.

Интересно, что всплеск активности Linuxsys совпал по времени с новой фазой распространения ботнета H2Miner, который связан с майнером Kinsing и в основном нацелен на Linux-среду. В этот раз, помимо Kinsing, фиксируется распространение ранее неизвестного шифровальщика Lcryx, написанного на VBScript и получившего имя Lcrypt0rx. Это первый известный случай пересечения двух таких семейств.

По словам исследователя Акшата Прадхана , Lcryx впервые был замечен в ноябре 2024 года. У него есть несколько необычных черт — исследователи даже подозревают, что его мог сгенерировать ИИ. Скрипт отключает защитное ПО, завершает процессы баз данных, запускает Kinsing, а тот, в свою очередь, загружает майнер XMRig. Также происходит уничтожение всех конкурирующих майнинговых процессов на заражённом устройстве.

Lcrypt0rx модифицирует системный реестр Windows: отключает важные администрируемые утилиты (System Configuration Utility, Group Policy Editor, Process Explorer), деактивирует защиту от Microsoft, Bitdefender и Kaspersky, а также пытается повредить Master Boot Record (MBR), что может полностью вывести ОС из строя.

Шифровальщик загружает и дополнительные компоненты: XMRig, Cobalt Strike, ConnectWise ScreenConnect, инфостилеры Lumma и RustyStealer, а также DCRat через внедрение инжектора. В конце атаки появляется вымогательское сообщение с требованием $1000 в криптовалюте в течение трёх дней под угрозой утечки данных. Однако, как отмечает Прадхан, алгоритм шифрования крайне слабый — используется простой XOR, а ключи нигде не сохраняются. Это позволяет восстановить данные с помощью базового анализа, а саму программу считать скорее инструментом запугивания.

По мнению FortiGuard Labs, активность Lcryx может быть отвлекающим манёвром для сокрытия работы майнера либо дополнительным способом монетизации.

Эти инциденты подтверждают, как использование готовых решений и ИИ-кода снижает барьер для входа в киберпреступность. Даже слабо подготовленные злоумышленники могут проводить масштабные и разрушительные атаки. Несмотря на разные задачи, H2Miner и Lcryx объединяет одна цель — скрытая добыча крипты.

Лаборатория Касперского параллельно сообщила о другой вредоносной активности, направленной против госструктур в Азии. Атаки проводятся с помощью GhostContainer — многофункционального бэкдора, который, вероятно, проникает в систему через устранённую уязвимость CVE-2020-0688 (CVSS 8.8) в Microsoft Exchange Server. По мнению аналитиков, GhostContainer может загружать дополнительные модули, расширяя свои возможности по мере необходимости.

Вредонос позволяет выполнять произвольный код, управлять файлами, запускать шеллкод и работать с .NET-компонентами. Он включает прокси-модуль и систему туннелирования. Вместо стандартных C2-серверов команды маскируются под обычные HTTP-запросы интерфейса Exchange, что усложняет обнаружение.

Такая схема характерна для атак APT-уровня , направленных на ценные цели — от технологических компаний до госорганов. Несмотря на отсутствие информации о конкретной хак-группе, специалисты отмечают высокий технический уровень и глубокое понимание архитектуры Exchange.

Эти события наглядно демонстрируют, как быстро эволюционирует ландшафт цифровых угроз. Майнинг, шифрование, RAT-инструменты и внедрение через уязвимости всё чаще оказываются частями единой схемы, направленной на кражу вычислительных ресурсов и данных.