Исследователи в сфере безопасности сообщили о новых вредоносных кампаниях. Злоумышленники атакуют уязвимые серверы с Windows Server, Apache Solr и Redis и устанавливают на них ПО для добычи криптовалюты.
На прошлой неделе независимо друг от друга были активизированы две отдельные кампании. Одна из них была направлена на серверы Redis и Windows Servers, обнаружили ее специалисты из Imperva. О второй кампании, направленной на серверы Apache Solr, поведали исследователи ISC SANS.
Наиболее активной является кампания, которую специалисты из Imperva назвали “RedisWannaMine”. Злоумышленники сканируют интернет в поисках систем с устаревшими версиями Redis с неисправленной уязвимостью CVE-2017-9805. Получив доступ к хосту, атакующие устанавливают вредоносное ПО RedisWannaMine, после чего переходят ко второму этапу – установке майнера криптовалюты. Как утверждают исследователи, злоумышленники используют для поиска новых целей уже зараженные серверы, поэтому вредонос распространяется подобно червю.
Помимо Redis, атакующих также интересуют серверы под управлением Windows Server, которые они взламывают через уязвимость в SMB. Для взлома преступники используют эксплоит Агентства национальной безопасности США EternalBlue, который уже можно назвать классическим.
Вторая кампания направлена на устаревшие версии Apache Solr с неисправленной уязвимостью CVE-2017-12629. Никаких признаков самораспространения эксперты не выявили, а значит, поиск уязвимых серверов и заражение вредоносом осуществляется централизованно.
Источник: securitylab.ru