自12月初以来,一种新发现且自我传播的基于Golang的恶意软件一直在积极地在Windows和Linux服务器上丢弃XMRig加密货币矿工。
这种多平台恶意软件还具有蠕虫功能,可以通过弱口令对蛮荒的面向公众的服务(即MySQL,Tomcat,Jenkins和WebLogic)进行传播,使其传播到其他系统,这是Intezer安全研究员Avigayil Mechtinger透露的。
自该活动首次被发现以来,攻击者一直在通过其命令和控制(C2)服务器积极地更新蠕虫的功能,这暗示着一个正在主动维护的恶意软件。
C2服务器用于托管bash或PowerShell Dropper脚本(取决于目标平台),基于Golang的二进制蠕虫和XMRig挖矿器,用于在受感染的设备上秘密挖掘无法追踪的Monero加密货币。
"在发布此书时,VirusTotal中都完全未检测到ELF蠕虫二进制文件和bash dropper脚本," Mechtinger说。
该蠕虫通过使用密码喷雾和一系列硬编码凭据扫描并强制执行MySql,Tomcat和Jenkins服务,从而将其传播到其他计算机。
还可以看到该蠕虫的旧版本试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。
一旦设法攻陷目标服务器之一,它将部署加载程序脚本(对于Linux为ld.sh,对于Windows为ld.ps1),该脚本同时删除XMRig挖矿程序和基于Golang的蠕虫二进制文件。
如果恶意软件检测到受感染的系统正在侦听端口52013,它将自动杀死自己。如果未使用该端口,该蠕虫将打开自己的网络套接字。
"蠕虫的代码与其PE和ELF恶意软件几乎相同,并且VirusTotal中未检测到ELF恶意软件,这表明对于大多数安全和检测平台,Linux威胁仍在雷达下蔓延,&#34 ; Mechtinger添加了。
为了抵御这种新的多平台蠕虫病毒发起的暴力攻击,您应该限制登录名,并在所有Internet公开的服务上使用难以猜测的密码,并尽可能使用两因素身份验证。
除非绝对必要,否则请始终确保您的软件始终处于最新状态,并确保您的服务器无法通过Internet访问,这是防御这种新的恶意软件威胁的其他方法。