HomeNews* นักวิจัยค้นพบการโจมตีใหม่ที่ใช้ประโยชน์จากช่องโหว่ที่รู้จักใน Apache HTTP Server เพื่อติดตั้งโปรแกรมขุด cryptocurrency Linuxsys.
- ผู้โจมตีใช้เว็บไซต์ที่ถูกละเมิดซึ่งถูกต้องตามกฎหมายและช่องโหว่การข้ามเส้นทาง CVE-2021-41773 เพื่อหลีกเลี่ยงการตรวจจับและแพร่กระจายมัลแวร์.
- มัลแวร์ถูกแจกจ่ายผ่านสคริปต์เชลล์และเริ่มทำงานโดยอัตโนมัติหลังจากการรีบูตระบบ; หลักฐานแสดงให้เห็นว่าความเสี่ยงนี้ยังมุ่งเป้าไปที่ระบบ Windows ด้วย.
- แคมเปญนี้ใช้ช่องโหว่ของซอฟต์แวร์ที่รู้จักกันหลายรายการ แสดงให้เห็นถึงความพยายามที่มีการประสานงานกันในระยะยาวเพื่อการขุดเหรียญอย่างผิดกฎหมาย.
- แคมเปญแยกต่างหากใช้ประตูหลังที่ซับซ้อนเรียกว่า GhostContainer เพื่อตั้งเป้าไปที่เซิร์ฟเวอร์ Exchange ของรัฐบาลในเอเชียเพื่อการจารกรรม.
บริษัทด้านความปลอดภัยไซเบอร์ได้ระบุแคมเปญมัลแวร์ใหม่ที่ผู้โจมตีใช้ช่องโหว่ด้านความปลอดภัยใน Apache HTTP Server เพื่อแจกจ่ายเครื่องมือขุดสกุลเงินดิจิทัลที่ชื่อว่า Linuxsys การโจมตีที่ตรวจพบในเดือนกรกฎาคม 2025 มุ่งเป้าไปที่ข้อบกพร่อง CVE-2021-41773 ใน Apache รุ่น 2.4.49 โดยอนุญาตให้ผู้ใช้ที่ไม่ได้รับอนุญาตสามารถเรียกใช้โค้ดจากระยะไกลบนเซิร์ฟเวอร์ที่มีช่องโหว่ได้.
- โฆษณา - ผู้กระทำการโจมตีแจกจ่ายมัลแวร์โดยการบุกรุกเว็บไซต์ที่ถูกต้องตามกฎหมายและใช้เป็นจุดส่งมอบ ตามรายงานของ VulnCheck ผู้โจมตีเริ่มการติดเชื้อจากที่อยู่ IP ของอินโดนีเซียและใช้เซิร์ฟเวอร์ดาวน์โหลด “repositorylinux[.]org” เพื่อดึงสคริปต์เชลล์ที่เป็นอันตราย สคริปต์เหล่านี้มีหน้าที่ดาวน์โหลดโปรแกรมขุด Linuxsys จากโดเมนที่เชื่อถือได้หลายแห่ง ทำให้การตรวจจับทำได้ยากขึ้นเนื่องจากการเชื่อมต่อใช้ใบรับรอง SSL ที่ถูกต้อง
สคริปต์เชลล์ช่วยให้กระบวนการติดตั้งเป็นไปโดยอัตโนมัติและสร้างสคริปต์อีกหนึ่งตัวคือ “cron.sh” ซึ่งรับประกันว่าตัวขุดจะเริ่มทำงานทุกครั้งที่ระบบเริ่มต้นใหม่ VulnCheck สังเกตว่าเว็บไซต์ที่ถูกแฮ็กบางแห่งยังมีไฟล์มัลแวร์ของ Windows อยู่ด้วย ซึ่งบ่งชี้ว่าการรณรงค์อาจขยายไปยังระบบ Linux นอกเหนือจากนี้ ผู้โจมตีเคยใช้ประโยชน์จากช่องโหว่ที่สำคัญ เช่น ข้อบกพร่องใน OSGeo GeoServer GeoTools (CVE-2024-36401) สำหรับกิจกรรมการขุดที่คล้ายกัน คอมเมนต์ในซอร์สโค้ดของมัลแวร์เขียนด้วยภาษาซุนดานี ซึ่งชี้ให้เห็นถึงการเชื่อมโยงกับอินโดนีเซีย.
ช่องโหว่ซอฟต์แวร์อื่น ๆ ที่ใช้ในอดีตในการโจมตีเพื่อปรับใช้เหมืองรวมถึงการฉีดเทมเพลตใน Atlassian Confluence (CVE-2023-22527), การฉีดคำสั่งใน Chamilo LMS (CVE-2023-34960), และข้อบกพร่องที่คล้ายกันใน Metabase และไฟร์วอลล์ Palo Alto (CVE-2024-0012 และ CVE-2024-9474). “ทั้งหมดนี้บ่งชี้ว่าผู้โจมตีได้ดำเนินการรณรงค์ระยะยาว โดยใช้เทคนิคที่สม่ำเสมอ เช่น การใช้ประโยชน์จากช่องโหว่ n-day, การจัดเตรียมเนื้อหาบนโฮสต์ที่ถูกบุกรุก, และการขุดเหรียญในเครื่องของเหยื่อ,” VulnCheck รายงาน.
ในเหตุการณ์แยกต่างหาก Kaspersky ได้เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปที่เซิร์ฟเวอร์รัฐบาลในเอเชียผ่านมัลแวร์ที่กำหนดเองเรียกว่า GhostContainer ผู้โจมตีอาจได้ใช้ประโยชน์จากช่องโหว่การเรียกใช้โค้ดจากระยะไกล (CVE-2020-0688) ใน Microsoft Exchange Servers ประตูหลังนี้อนุญาตให้เข้าถึงเซิร์ฟเวอร์ที่ถูกโจมตีได้อย่างเต็มที่โดยไม่ต้องเชื่อมต่อกับศูนย์คำสั่งภายนอก โดยซ่อนคำสั่งภายในคำขอเว็บปกติ ซึ่งเพิ่มความลับในการโจมตี.
แคมเปญเหล่านี้แสดงให้เห็นถึงการมุ่งเป้าไปที่ช่องโหว่ของซอฟต์แวร์ที่รู้จักกันในที่สาธารณะอย่างต่อเนื่องและกลยุทธ์ที่ซับซ้อนเพื่อรักษาโปรไฟล์ที่ต่ำในขณะที่ดำเนินการขุดและการสอดแนม.
บทความก่อนหน้า:
- การคุกคามภาษีของทรัมป์ทำให้ความพยายามของ BRICS ในการสร้างสกุลเงินร่วมสะดุด
- ลิธัวเนียของ Axiology ได้รับใบอนุญาต DLT สำหรับการซื้อขายพันธบัตรดิจิทัล
- BlackRock ลงทุน 916 ล้านเหรียญในบิทคอยน์, อีเธอเรียม ขณะที่การถือครองคริปโตพุ่งขึ้น
- บิตคอยน์แตะที่ $123K เนื่องจากรายงานของคณะทำงานของทรัมป์กระตุ้นความสนใจในตลาด
- XRP ใกล้แตะมูลค่าตลาด 200 พันล้านดอลลาร์ เพิ่มขึ้น 35% เมื่อเทียบกับ Bitcoin ในเดือนกรกฎาคม
