Los investigadores de seguridad cibernética han descubierto una nueva campaña que explota una falla de seguridad conocida que afecta el servidor Apache HTTP para entregar un minero de criptomonedas llamado Linuxsys. La vulnerabilidad en cuestión es CVE-2021-41773 (puntuación CVSS: 7.5), una vulnerabilidad de transversal de ruta de alta severidad en la versión 2.4.49 del servidor Apache HTTP que podría dar lugar a la ejecución de código remoto. «El atacante aprovecha los sitios web legítimos comprometidos para distribuir malware, lo que permite la entrega sigilosa y la evasión de la detección», dijo Jacob Baines de Vulncheck en un informe compartido con Hacker News. La secuencia de infección, observada a principios de este mes y que se origina en una dirección IP indonesia 103.193.177[.]152, está diseñado para soltar una carga útil de la próxima etapa de «RepositoryLinux[.]org «utilizando curl o wget. La carga útil es un script de shell responsable de descargar el minero de criptomonedas de Linuxsys de cinco sitios web legítimos diferentes, lo que sugiere que los actores de amenaza detrás de la campaña han logrado comprometer la infraestructura de terceros para facilitar la distribución del malware». Notado. «Además, proporciona una capa de separación para el sitio de descarga (‘RepositoryLinux[.]org ‘) ya que el malware en sí no está alojado allí. «Los sitios también alojan otro script de shell llamado» cron.sh «que asegura que el minero se inicie automáticamente en un reinicio del sistema. Una falla de seguridad crítica en Osgeo Geoserver Geotools (CVE-2024-36401, CVSS Puntuación: 9.8), según lo documentado por Fortinet Fortiguard Labs en septiembre de 2024. Curiosamente, el script de Shell se cayó después de la explotación de la falla se descargó de «RepositoryLinux[.]com, «con comentarios en el código fuente escrito en Sundanese, un idioma indonesio. El mismo script de shell se ha detectado en la naturaleza desde diciembre de 2021. Algunas de las otras vulnerabilidades explotadas para entregar el minero en los últimos años incluyen-CVE-2023-22527, una injerga de injeraciones de plantilla en el centro de datos de la injerencia de la plantilla en el centro de datos de la injerencia Atlassian y el servidor de la confluencia CVE-2023-34960. Vulnerabilidad en Chamilo Learning Management Systems (LMS) CVE-2023-38646, una vulnerabilidad de inyección de comandos en metabase CVE-2024-0012 y CVE-2024-9474, son la autenticación de la autenticación y las vulnerabilidades de escalada de la escalada de la técnica a largo plazo en la técnica de las redes de las redes de las redes de las redes de las redes de Palo, lo que ha sido el atacante que el atacante ha sido una campaña a largo plazo en una campaña de medición a largo plazo en la campaña a largo plazo en la que lo contratan en la campaña de los ataques a largo plazo. Como explotación del día N, organización de contenido en hosts comprometidos y minería de monedas en máquinas víctimas «, dijo Vulncheck.» Parte de su éxito proviene de una cuidadosa orientación. Parecen evitar los honeypots de baja interacción y requieren una alta interacción para observar su actividad. Combinado con el uso de hosts comprometidos para la distribución de malware, este enfoque ha ayudado en gran medida al atacante a evitar el escrutinio «. El descubrimiento de los ataques de mineros de Linuxsys coinciden con una nueva campaña asociada con el H2Miner Cryptocurrency Botnet Botnet que ofrece Kinsing, un Trojan de acceso remoto (rata) utilizado comúnmente para entregar malware con una amplia variedad de InfraTructos de Linux. Out también ofrece una variante de script de Visual Basic de ransomware LCRYX, llamado LCRYPT0RX, que marca la primera instancia documentada de superposición operativa entre las dos familias de malware «LCRYX es una nueva cepa de ransomware basada en VBSCRIT. Inteligencia «. Los ataques implican el uso de un script de shell que termina los procesos relacionados con las herramientas de seguridad, las bases de datos y otras aplicaciones de los usuarios antes de lanzar Kinsing, que luego ofrece el XMRIG Miner. También está diseñado para matar procesos de mineros en competencia que pueden estar ejecutados en Hosts de LCRYPT0RX de LCRYPT0RX. El editor de políticas, el explorador de procesos y la utilidad de la configuración del sistema. Cobalt Strike, Connectwise Screenconnect, robos de información como Lumma y RustyStealer, y un inyector que sirve a DCRAT. Dijo Pradhan. La falta de gestión clave, combinada con la presencia de tácticas de miedo y demandas de rescate superficiales, sugiere que LCRYPT0RX opera más como un sharware que una amenaza de ransomware grave. Se indica que la mercantilización continua del delito cibernético, ya que el acceso a las herramientas previas a la construcción de la IA puede reducir aún más la barrera de entrada, permitiendo que los actores de amenaza incluso con experiencia técnica de poca o no lanzaran ataques de alto impacto a escala a escala. Entornos, esto resulta en un impacto financiero significativo, a medida que los sistemas comprometidos incurren en costos de cálculo elevados, el rendimiento degradado y el aumento del riesgo operativo «. Los servidores de intercambio atacados por GhostContainer Backdoor El desarrollo se produce cuando Kaspersky reveló los detalles de una campaña que está dirigida a las entidades gubernamentales en Asia, probablemente con una falla de seguridad no día en el Intercambio de Microsoft, a despliegue de un bespeke bosheor Dubbed Dubbed Dubbed Dubbed Dubbed Dubbed Dubbed Dubbed. Los ataques pueden haber explotado un error de ejecución de código remoto ahora empatado en Exchange Server (CVE-2020-0688, puntaje CVSS: 8.8). actividades «. El malware está equipado para analizar las instrucciones que pueden ejecutar shellcode, descargar archivos, leer o eliminar archivos, ejecutar comandos arbitrarios y cargar un código .NET byte adicional. También incorpora una proxy web y un módulo de túnel. ataques, aunque se evalúa que son altamente calificados debido a su comprensión profunda del servidor de Microsoft Exchange y su capacidad para transformar el código disponible públicamente en herramientas de espionaje avanzadas. [command-and-control] Infraestructura «, dijo Kaspersky.» En cambio, el atacante se conecta al servidor comprometido desde el exterior, y sus comandos de control están ocultos dentro de las solicitudes web de Exchange Normal «.