Vulnerabilidade no Apache HTTP Server permite instalação do minerador de criptomoedas Linuxsys

Pesquisadores de cibersegurança da VulnCheck identificaram uma nova e sofisticada campanha que explora uma vulnerabilidade conhecida no Apache HTTP Server para implantar um minerador de criptomoedas chamado Linuxsys. A falha em questão é a CVE-2021-41773 (pontuação CVSS: 7.5), uma vulnerabilidade de alta gravidade de "path traversal" (atravessamento de diretórios) presente na versão 2.4.49 do Apache HTTP Server, que pode resultar em execução remota de código.

"O hacker utiliza websites legítimos comprometidos para distribuir o malware, possibilitando uma entrega furtiva e evasão da detecção", afirmou a VulnCheck em um relatório. A sequência de infecção, observada no início deste mês e originada de um endereço IP indonésio (103.193.177[.]152), foi projetada para descarregar uma carga útil de estágio seguinte do domínio "repositorylinux[.]org" usando as ferramentas curl ou wget.

A carga útil é um script shell que se encarrega de baixar o minerador de criptomoedas Linuxsys de cinco diferentes websites legítimos. Essa tática sugere que os hackers por trás da campanha conseguiram comprometer infraestruturas de terceiros para facilitar a distribuição do malware. "Essa abordagem é inteligente porque as vítimas se conectam a hosts legítimos com certificados SSL válidos, tornando a detecção menos provável", observou a VulnCheck. "Além disso, ela proporciona uma camada de separação para o site de download ('repositorylinux[.]org'), já que o próprio malware não está hospedado lá."

Os sites comprometidos também hospedam outro script shell chamado "cron.sh", que garante que o minerador seja lançado automaticamente após a reinicialização do sistema. A empresa de cibersegurança também identificou dois executáveis do Windows nesses sites hackeados, levantando a possibilidade de que os invasores também estejam visando o sistema operacional de desktop da Microsoft.

É importante notar que ataques anteriores que distribuíram o minerador Linuxsys já exploraram uma falha crítica de segurança no OSGeo GeoServer GeoTools (CVE-2024-36401, pontuação CVSS: 9.8), conforme documentado pelo Fortinet FortiGuard Labs em setembro de 2024. Curiosamente, o script shell baixado após a exploração dessa falha foi obtido de "repositorylinux[.]com", com comentários no código-fonte escritos em Sundanês, uma língua indonésia. O mesmo script shell foi detectado em campo desde dezembro de 2021.

Outras vulnerabilidades exploradas para entregar o minerador nos últimos anos incluem:

• CVE-2023-22527: Uma vulnerabilidade de injeção de template no Atlassian Confluence Data Center e Confluence Server.

• CVE-2023-34960: Uma vulnerabilidade de injeção de comando em Sistemas de Gerenciamento de Aprendizagem (LMS) Chamilo.

• CVE-2023-38646: Uma vulnerabilidade de injeção de comando no Metabase.

• CVE-2024-0012 e CVE-2024-9474: Vulnerabilidades de bypass de autenticação e escalada de privilégios em firewalls Palo Alto Networks.

"Tudo isso indica que o hacker tem conduzido uma campanha de longo prazo, empregando técnicas consistentes como exploração de 'n-day' (vulnerabilidades já conhecidas e com patch disponível), preparação de conteúdo em hosts comprometidos e mineração de moedas em máquinas de vítimas", afirmou a VulnCheck. "Parte do seu sucesso vem do direcionamento cuidadoso.

Eles parecem evitar 'honeypots' de baixa interação e exigem alta interação para observar sua atividade. Combinado com o uso de hosts comprometidos para distribuição de malware, essa abordagem ajudou o hacker a evitar o escrutínio."

Paralelamente a essas descobertas, a Kaspersky divulgou detalhes de uma campanha complexa que está visando entidades governamentais na Ásia, provavelmente explorando uma falha de segurança "n-day" em servidores Microsoft Exchange, para implantar um backdoor sob medida apelidado de GhostContainer. Suspeita-se que os ataques possam ter explorado uma falha de execução remota de código (RCE) no Exchange Server, já corrigida (CVE-2020-0688, pontuação CVSS: 8.8).

Descrito como um "backdoor sofisticado e multifuncional", o GhostContainer pode ser "dinamicamente estendido com funcionalidades arbitrárias através do download de módulos adicionais", disse a empresa russa. O malware concede aos invasores controle total sobre o servidor Exchange, permitindo-lhes executar uma série de atividades maliciosas. Ele é equipado para analisar instruções que podem executar shellcode, baixar arquivos, ler ou excluir arquivos, executar comandos arbitrários e carregar código de bytes .NET adicional. Também incorpora um proxy web e um módulo de tunelamento.

Suspeita-se que essa atividade possa fazer parte de uma campanha de ameaça persistente avançada (APT), visando organizações de alto valor, incluindo empresas de alta tecnologia na Ásia. Não se sabe muito sobre quem está por trás dos ataques, embora sejam considerados altamente habilidosos devido ao seu profundo conhecimento do Microsoft Exchange Server e à sua capacidade de transformar código disponível publicamente em ferramentas avançadas de espionagem.

"O backdoor GhostContainer não estabelece uma conexão com nenhuma infraestrutura de comando e controle (C2)", disse a Kaspersky. "Em vez disso, o hacker se conecta ao servidor comprometido do lado de fora, e seus comandos de controle são ocultados dentro das solicitações web normais do Exchange."

Via - THN