Xakep #239. Вскрыть и изучить

• Содержание выпуска


• Подписка на «Хакер»

Специалисты Cisco Talos предупредили о всплеске атак на незащищенные кластеры Elasticsearch. По данным экспертов, за атаками стоят как минимум 6 разных группировок.

В основном целью злоумышленников становится необновленное ПО (версии 1.4.2 и ниже). Преступники эксплуатируют два старых и хорошо известных бага, CVE-2014-3120 и CVE-2015-1427, обнаруженных еще в 2014-2015 годах.

Наиболее активная хак-группа чаще использует проблему CVE-2015-1427 и пытается задеплоить два разных пейлоада. Оба пейлоада загружают один и тот же bash-скрипт. Очевидно, это делается для того, чтобы охватить как можно больше различных платформ. Данный bash-скрипт пытается отключить защиту и ликвидировать вредоносные процессы конкурентов, если таковые запущены (в основном речь о майнинговой малвари), а после прописывает RSA-ключ в файл authorized_keys. Закрепившийся в системе скрипт может использоваться для загрузки майнеров и их конфигурационных файлов.

Также скрипт скачивает UPX-архив с исполняемым файлом ELF, содержащий эксплоиты для других платформ:  CVE-2018-7600 в Drupal, CVE-2017-10271 в Oracle WebLogic, а также CVE-2018-1273 в Spring Data Commons.

Вторая преступная группа в основном полагается на эксплуатацию уязвимости CVE-2014-3120 и заражает скомпрометированные установки DDoS-вредоносом Bill Gates. Третья группировка скачивала на зараженные машины некий файл с именем LinuxT (более недоступен), и эксперты полагают, что под этим названием скрывался троян Spike, ориентированный на архитектуры x86, MIPS и ARM.

Хотя кластеры Elasticsearch атакуют еще как минимум три преступные группы, исследователи Cisco Talos отмечают, что пока их атаки не распространяют никакой малвари.

Эксперты связывают происходящее с китайскими хакерами, так как им удалось заметить, что в числе прочего пейлоады выполняли команду echo ‘qq952135763, явно относящуюся к аккаунту в QQ (популярный в Китае гибрид мессенджера и социальной сети). Данную учетную запись удалось связать со страницей потенциального атакующего на Gitee (китайский аналог Github и Atlassian) и хакерским форумом xiaoqi7.