黑客利用Apache漏洞投放Linuxsys加密货币挖矿程序

2025-07-17 16:09:52

HomeNews* 研究人员发现了一种新的攻击，利用Apache HTTP Server中的已知漏洞来部署Linuxsys加密货币矿工。

攻击者利用被攻陷的合法网站和CVE-2021-41773路径遍历漏洞来规避检测并传播恶意软件。
恶意软件通过 shell 脚本分发，并在系统重启后自动启动；证据表明，该威胁还针对 Windows 系统。
此次活动利用了各种已知的软件漏洞，暗示了一种长期的、协调一致的非法币挖掘努力。
一个单独的活动使用一种名为GhostContainer的复杂后门，针对亚洲的政府交换服务器进行间谍活动。网络安全公司发现了一种新的恶意软件攻击活动，攻击者利用Apache HTTP服务器的安全漏洞来分发名为Linuxsys的加密货币挖矿工具。这些攻击于2025年7月被发现，特别针对Apache 2.4.49版本中的CVE-2021-41773漏洞，允许未经授权的用户在易受攻击的服务器上远程运行代码。

广告 - 威胁行为者通过入侵合法网站并将其作为投递点来分发恶意软件。根据 VulnCheck，攻击者从一个印度尼西亚的IP地址发起感染，并利用下载服务器“repositorylinux[.]org”来获取恶意shell脚本。这些脚本负责从各种可信域下载Linuxsys矿工，使得检测变得更加困难，因为连接使用有效的SSL证书。

该 shell 脚本自动化安装过程，并放置另一个脚本 “cron.sh”，确保每次系统重启时矿工都会启动。VulnCheck 观察到一些受损网站还包含 Windows 恶意软件文件，表明此次活动的影响范围可能超出 Linux 系统。攻击者之前曾利用关键漏洞，例如 OSGeo GeoServer GeoTools (CVE-2024-36401) 中的缺陷，进行类似的挖矿活动。恶意软件源代码中的注释是用巽他语写的，暗示与印度尼西亚的联系。

过去攻击中用于部署矿机的其他软件漏洞包括Atlassian Confluence中的模板注入(CVE-2023-22527)、Chamilo LMS中的命令注入(CVE-2023-34960)，以及Metabase和Palo Alto防火墙中的类似缺陷(CVE-2024-0012和CVE-2024-9474)。“所有这些都表明攻击者一直在进行长期活动，采用一致的技术，如n-day利用、在被攻陷主机上部署内容以及在受害者机器上进行挖矿，” VulnCheck报告说。

在另一起事件中，卡巴斯基警告称，针对亚洲政府服务器的定向攻击通过一种名为GhostContainer的定制恶意软件进行。攻击者可能利用了Microsoft Exchange Server中的一个远程代码执行漏洞(CVE-2020-0688)。这个后门允许在不连接外部指挥中心的情况下完全访问被攻陷的服务器，通过将指令隐藏在正常的网络请求中，从而提高隐蔽性。

这些活动展示了对公开已知软件缺陷的持续针对，以及在进行挖矿和间谍活动时保持低调的复杂战术。