HomeNews* Forscher haben einen neuen Angriff entdeckt, der eine bekannte Schwachstelle im Apache HTTP Server ausnutzt, um den Linuxsys Kryptowährungs-Miner zu installieren.
- Die Angreifer nutzen kompromittierte legale Webseiten und die CVE-2021-41773-Pfad-Traversal-Schwachstelle, um der Erkennung zu entkommen und Malware zu verbreiten.
- Malware wird über Shell-Skripte verteilt und startet automatisch nach dem Neustart des Systems; Beweise zeigen, dass die Bedrohung auch Windows-Systeme anvisiert.
- Diese Kampagne nutzt verschiedene bekannte Softwareanfälligkeiten und deutet auf einen langfristigen, koordinierten Aufwand für illegales Coin-Mining hin.
- Eine separate Kampagne nutzt einen ausgeklügelten Hintertür namens GhostContainer, um Regierungs-Exchange-Server in Asien für Spionage zu inszenieren.
Cybersecurity-Firmen haben eine neue Malware-Kampagne identifiziert, bei der Angreifer eine Sicherheitsanfälligkeit im Apache HTTP Server ausnutzen, um ein Kryptowährungs-Mining-Tool namens Linuxsys zu verbreiten. Die im Juli 2025 entdeckten Angriffe zielen speziell auf den CVE-2021-41773-Bug in Apache Version 2.4.49 ab, der unbefugten Benutzern ermöglicht, Code aus der Ferne auf verwundbaren Servern auszuführen.
- Werbung - Bedrohungsakteure verbreiten die Malware, indem sie legitime Websites kompromittieren und diese als Lieferpunkte nutzen. Laut VulnCheck initiieren die Angreifer Infektionen von einer indonesischen IP-Adresse und verwenden einen Download-Server, “repositorylinux[.]org”, um bösartige Shell-Skripte abzurufen. Diese Skripte sind dafür verantwortlich, den Linuxsys-Miner von verschiedenen vertrauenswürdigen Domains herunterzuladen, was die Erkennung erschwert, da die Verbindungen gültige SSL-Zertifikate verwenden.
Das Shell-Skript automatisiert den Installationsprozess und legt ein weiteres Skript, „cron.sh“, ab, das sicherstellt, dass der Miner jedes Mal gestartet wird, wenn das System neu gestartet wird. VulnCheck stellte fest, dass einige der kompromittierten Websites auch Windows-Malware-Dateien enthalten, was darauf hindeutet, dass die Reichweite der Kampagne über Linux-Systeme hinausgehen könnte. Angreifer haben zuvor kritische Sicherheitsanfälligkeiten ausgenutzt, wie zum Beispiel einen Fehler in OSGeo GeoServer GeoTools (CVE-2024-36401), für ähnliche Mining-Aktivitäten. Kommentare im Quellcode der Malware sind in Sundanesisch verfasst, was auf eine Verbindung zu Indonesien hindeutet.
Andere Softwareanfälligkeiten, die in vergangenen Angriffen verwendet wurden, um den Miner zu implementieren, umfassen Template-Injection in Atlassian Confluence (CVE-2023-22527), Command-Injection in Chamilo LMS (CVE-2023-34960) und ähnliche Schwachstellen in Metabase und Palo Alto-Firewalls (CVE-2024-0012 und CVE-2024-9474). „All dies deutet darauf hin, dass der Angreifer eine langfristige Kampagne durchgeführt hat, die konsistente Techniken wie n-day Exploitation, das Bereitstellen von Inhalten auf kompromittierten Hosts und Coin Mining auf den Maschinen der Opfer verwendet“, berichtete VulnCheck.
In einem separaten Vorfall warnte Kaspersky vor einem gezielten Angriff auf Regierungsserver in Asien durch eine benutzerdefinierte Malware namens GhostContainer. Die Angreifer könnten einen Remote-Code-Ausführungsfehler (CVE-2020-0688) in Microsoft Exchange-Servern ausgenutzt haben. Dieses Hintertür ermöglicht den vollständigen Zugriff auf kompromittierte Server, ohne sich mit externen Befehlszentren zu verbinden, indem Anweisungen in normalen Webanfragen verborgen werden, was die Tarnung erhöht.
Die Kampagnen zeigen eine anhaltende Fokussierung auf öffentlich bekannte Softwarefehler und raffinierte Taktiken, um während der Durchführung von Mining- und Spionageoperationen ein geringes Profil zu wahren.
Vorherige Artikel:
- Trump-Zollbedrohung derailt den BRICS-Vorstoss für eine gemeinsame Währung
- Litauens Axiology erhält DLT-Lizenz für den Handel mit digitalen Anleihen
- BlackRock investiert 916 Millionen $ in Bitcoin, Ethereum, während die Krypto-Bestände steigen
- Bitcoin erreicht 123.000 $ nachdem der Bericht der Trump-Taskforce den Markt in Aufregung versetzt
- XRP nähert sich einer Marktkapitalisierung von 200 Milliarden $, steigt im Juli um 35 % gegenüber Bitcoin
Disclaimer: The information on this page may come from third parties and does not represent the views or opinions of Gate. The content displayed on this page is for reference only and does not constitute any financial, investment, or legal advice. Gate does not guarantee the accuracy or completeness of the information and shall not be liable for any losses arising from the use of this information. Virtual asset investments carry high risks and are subject to significant price volatility. You may lose all of your invested principal. Please fully understand the relevant risks and make prudent decisions based on your own financial situation and risk tolerance. For details, please refer to
Disclaimer.
