O nouă formă de malware sofisticat pentru Linux a fost descoperită exploatând serverele web Apache2. Cercetătorii de la Elastic au identificat această campanie de malware în martie 2024, care vizează serverele vulnerabile. Malware-ul include o varietate de instrumente și tehnici pentru a evita detecția și a exploata resursele serverului, cum ar fi miningul de criptomonede și atacurile DDoS.
TL;DR
- Malware sofisticat pentru Linux exploatează serverele Apache2
- Descoperit în martie 2024 de către echipa Elastic
- Utilizează instrumente precum KAIJI, RUDEDEVIL și GSOCKET
- Exploatează vulnerabilități și folosește tehnici de ascundere
- Obiective: mining de criptomonede și atacuri DDoS
Descoperirea malware-ului
Cercetătorii Elastic au descoperit în martie 2024 o campanie de malware sofisticat care vizează serverele web Apache2 vulnerabile. Acest malware utilizează o varietate de tehnici pentru a păstra persistența pe servere și pentru a evita detecția. Atacatorii folosesc instrumente precum KAIJI pentru atacuri DDoS, RUDEDEVIL pentru miningul de criptomonede și alte tipuri de malware personalizat pentru a controla serverele infectate.
Tehnici și instrumente utilizate
Instrumentele utilizate: Atacatorii folosesc GSOCKET pentru comunicare criptată și îl maschează ca procese kernel pentru a evita detecția. De asemenea, folosesc canale de comandă și control (C2) prin Telegram și cron jobs pentru operațiuni la distanță.
Tehnici de atac: Exploatarea vulnerabilităților, cum ar fi CVE-2021-4034 (PwnKit) pentru escaladarea privilegiilor, manipularea politicilor SELinux și utilizarea mount-urilor bind pentru ofuscare sunt doar câteva dintre tehnicile utilizate de atacatori.
Obiectivele atacatorilor
Obiectivul principal al atacatorilor este de a beneficia financiar prin mining de criptomonede și utilizarea resurselor serverului compromis pentru atacuri DDoS. Un plan secundar implică potențiale activități de spălare de bani folosind scheme complexe, inclusiv interacțiunea cu API-uri de jocuri de noroc.
Cum să vă protejați
Pentru a vă proteja împotriva acestor tipuri de atacuri, este esențial să mențineți serverul actualizat cu cele mai recente patch-uri de securitate. Asigurați-vă că folosiți firewall-uri și soluții antivirus eficiente și implementați politici stricte de acces și privilegii. Monitorizarea constantă și auditul sistemelor pot, de asemenea, să ajute la detectarea și prevenirea atacurilor.
Sursa articolului:
https://cybersecuritynews.com/new-sophisticated-linux-malware-exploiting-apache2-web-servers/