Хакеры зарабатывают 3 миллиона долларов

Хакеры зарабатывают 3 миллиона долларов

Если вы используете сервер Jenkins, возможно, вы захотите убедиться, что он полностью исправлен, поскольку исследователи обнаружили «одну из самых больших вредоносных операций майнинга». Кибер-преступники уже заработали более 3 миллионов долларов, установив вредоносное ПО, которое добывает Monero на уязвимых машинах Windows. И теперь они занимаются уязвимыми, но мощными серверами Jenkins.

«В операции используется гибридизация трояна удаленного доступа (RAT) и майнера XMRig», который «способен работать на многих платформах и версиях Windows», сообщила компания Check Point . До сих пор большинство жертв были «персональными компьютерами». В каждой кампании вредоносное ПО проходило несколько обновлений, и пул майнинга, используемый для перевода прибыли, также менялся.

За последние 18 месяцев хакеры накопили 10 800 Monero, что в настоящее время стоит 3 436 776 долларов.

«Преступник, предположительно китайского происхождения, запускает майнер XMRig на многих версиях Windows и уже заработал криптовалюту Monero на сумму более 3 миллионов долларов», - добавил Check Point. Теперь он нацелен на мощный сервер Jenkins CI.

Приблизительно 1 миллион пользователей работают с сервером непрерывной интеграции Jenkins. Данный сервер автоматизации с открытым исходным кодом, написанный на Java, был назван «наиболее широко развернутым сервером автоматизации». Check Point назвал Jenkins «переходом к CI и DevOps». К сожалению, из-за его невероятной мощности, часто размещаемой на больших серверах, это также делает его главной целью для атак крипто-майнинга.

Злоумышленники используют уязвимость CVE-2017-1000353. Помимо создания миллионеров злоумышленников, JenkinsMiner может влиять на серверы, снижая их производительность и отказывая в обслуживании.

Как работает эксплойт-кампания JenkinsMiner?

JenkinsMiner включает в себя отправку двух «последующих запросов к интерфейсу CLI», поэтому «оператор крипто-майнера» использует известную уязвимость CVE-2017-1000353 в реализации десериализации Java Jenkins. Уязвимость вызвана отсутствием проверки сериализованного объекта, что позволяет принимать любые сериализованные объекты.

После отправки первого запроса сеанса второй созданный запрос немедленно выдается. Второй специально созданный запрос содержит «два сериализованных объекта с внедренным кодом PowerShell для выполнения JenkinsMiner».

Майнер был загружен с IP-адреса в Китае, который был присвоен организации «Информационный центр электронного правительства Хуайань».

Несмотря на наличие нескольких пулов майнинга, атака использует только один кошелек.

Несмотря на то, что атака хорошо организована и поддерживается, и многие майнинг-пулы используются для сбора прибыли с зараженных машин, кажется, что оператор использует только один кошелек для всех депозитов и не меняет его с одной кампании на другую. На данный момент получено 3 миллиона долларов.
15.04.2019

Возврат к списку

КЛИЕНТЫ КОМПАНИИ

Asia
Аеропорт
Волковгеология
AirAstana
Метрополитен
Astel
ЭФКО,
Сентрас Иншуранс
Международный аэропорт Астана
Международный аэропорт Алматы
Bericap Kazakhstan
Метрополитен
Казросгаз
КазМунайГаз
Alina Management
KazConstruction Group
Самрук-Энерго, АО
Amanat Insurance
Nomad Life
KMF