黑客利用Apache漏洞投放Linuxsys加密貨幣挖礦程序

2025-07-17 16:09:52

HomeNews* 研究人員發現了一種新的攻擊，利用Apache HTTP Server中的已知漏洞來部署Linuxsys加密貨幣礦工。

攻擊者利用被攻陷的合法網站和CVE-2021-41773路徑遍歷漏洞來規避檢測並傳播惡意軟件。
惡意軟件通過 shell 腳本分發，並在系統重啓後自動啓動；證據表明，該威脅還針對 Windows 系統。
此次活動利用了各種已知的軟件漏洞，暗示了一種長期的、協調一致的非法幣挖掘努力。
一個單獨的活動使用一種名爲GhostContainer的復雜後門，針對亞洲的政府交換服務器進行間諜活動。網路安全公司發現了一種新的惡意軟件攻擊活動，攻擊者利用Apache HTTP服務器的安全漏洞來分發名爲Linuxsys的加密貨幣挖礦工具。這些攻擊於2025年7月被發現，特別針對Apache 2.4.49版本中的CVE-2021-41773漏洞，允許未經授權的用戶在易受攻擊的服務器上遠程運行代碼。

廣告 - 威脅行爲者通過入侵合法網站並將其作爲投遞點來分發惡意軟件。根據 VulnCheck，攻擊者從一個印度尼西亞的IP地址發起感染，並利用下載服務器“repositorylinux[.]org”來獲取惡意shell腳本。這些腳本負責從各種可信域下載Linuxsys礦工，使得檢測變得更加困難，因爲連接使用有效的SSL證書。

該 shell 腳本自動化安裝過程，並放置另一個腳本 “cron.sh”，確保每次系統重啓時礦工都會啓動。VulnCheck 觀察到一些受損網站還包含 Windows 惡意軟件文件，表明此次活動的影響範圍可能超出 Linux 系統。攻擊者之前曾利用關鍵漏洞，例如 OSGeo GeoServer GeoTools (CVE-2024-36401) 中的缺陷，進行類似的挖礦活動。惡意軟件原始碼中的注釋是用巽他語寫的，暗示與印度尼西亞的聯繫。

過去攻擊中用於部署礦機的其他軟件漏洞包括Atlassian Confluence中的模板注入(CVE-2023-22527)、Chamilo LMS中的命令注入(CVE-2023-34960)，以及Metabase和Palo Alto防火牆中的類似缺陷(CVE-2024-0012和CVE-2024-9474)。“所有這些都表明攻擊者一直在進行長期活動，採用一致的技術，如n-day利用、在被攻陷主機上部署內容以及在受害者機器上進行挖礦，” VulnCheck報告說。

在另一起事件中，卡巴斯基警告稱，針對亞洲政府服務器的定向攻擊通過一種名爲GhostContainer的定制惡意軟件進行。攻擊者可能利用了Microsoft Exchange Server中的一個遠程代碼執行漏洞(CVE-2020-0688)。這個後門允許在不連接外部指揮中心的情況下完全訪問被攻陷的服務器，通過將指令隱藏在正常的網路請求中，從而提高隱蔽性。

這些活動展示了對公開已知軟件缺陷的持續針對，以及在進行挖礦和間諜活動時保持低調的復雜戰術。