15.04.2019
Хакеры, эксплуатирующие серверы Jenkins, заработали 3 миллиона долларов в одной из крупнейших в мире операций по майнингу криптовалюты.
Если вы используете сервер Jenkins, возможно, вы захотите убедиться, что он полностью исправлен, поскольку исследователи обнаружили «одну из самых больших вредоносных операций майнинга». Кибер-преступники уже заработали более 3 миллионов долларов, установив вредоносное ПО, которое добывает Monero на уязвимых машинах Windows. И теперь они занимаются уязвимыми, но мощными серверами Jenkins.
«В операции используется гибридизация трояна удаленного доступа (RAT) и майнера XMRig», который «способен работать на многих платформах и версиях Windows», сообщила компания Check Point . До сих пор большинство жертв были «персональными компьютерами». В каждой кампании вредоносное ПО проходило несколько обновлений, и пул майнинга, используемый для перевода прибыли, также менялся.
За последние 18 месяцев хакеры накопили 10 800 Monero, что в настоящее время стоит 3 436 776 долларов.
«Преступник, предположительно китайского происхождения, запускает майнер XMRig на многих версиях Windows и уже заработал криптовалюту Monero на сумму более 3 миллионов долларов», - добавил Check Point. Теперь он нацелен на мощный сервер Jenkins CI.
Приблизительно 1 миллион пользователей работают с сервером непрерывной интеграции Jenkins. Данный сервер автоматизации с открытым исходным кодом, написанный на Java, был назван «наиболее широко развернутым сервером автоматизации». Check Point назвал Jenkins «переходом к CI и DevOps». К сожалению, из-за его невероятной мощности, часто размещаемой на больших серверах, это также делает его главной целью для атак крипто-майнинга.
Злоумышленники используют уязвимость CVE-2017-1000353. Помимо создания миллионеров злоумышленников, JenkinsMiner может влиять на серверы, снижая их производительность и отказывая в обслуживании.
Как работает эксплойт-кампания JenkinsMiner?
JenkinsMiner включает в себя отправку двух «последующих запросов к интерфейсу CLI», поэтому «оператор крипто-майнера» использует известную уязвимость CVE-2017-1000353 в реализации десериализации Java Jenkins. Уязвимость вызвана отсутствием проверки сериализованного объекта, что позволяет принимать любые сериализованные объекты.
После отправки первого запроса сеанса второй созданный запрос немедленно выдается. Второй специально созданный запрос содержит «два сериализованных объекта с внедренным кодом PowerShell для выполнения JenkinsMiner».
Майнер был загружен с IP-адреса в Китае, который был присвоен организации «Информационный центр электронного правительства Хуайань».
Несмотря на наличие нескольких пулов майнинга, атака использует только один кошелек.
Несмотря на то, что атака хорошо организована и поддерживается, и многие майнинг-пулы используются для сбора прибыли с зараженных машин, кажется, что оператор использует только один кошелек для всех депозитов и не меняет его с одной кампании на другую. На данный момент получено 3 миллиона долларов.
«В операции используется гибридизация трояна удаленного доступа (RAT) и майнера XMRig», который «способен работать на многих платформах и версиях Windows», сообщила компания Check Point . До сих пор большинство жертв были «персональными компьютерами». В каждой кампании вредоносное ПО проходило несколько обновлений, и пул майнинга, используемый для перевода прибыли, также менялся.
За последние 18 месяцев хакеры накопили 10 800 Monero, что в настоящее время стоит 3 436 776 долларов.
«Преступник, предположительно китайского происхождения, запускает майнер XMRig на многих версиях Windows и уже заработал криптовалюту Monero на сумму более 3 миллионов долларов», - добавил Check Point. Теперь он нацелен на мощный сервер Jenkins CI.
Приблизительно 1 миллион пользователей работают с сервером непрерывной интеграции Jenkins. Данный сервер автоматизации с открытым исходным кодом, написанный на Java, был назван «наиболее широко развернутым сервером автоматизации». Check Point назвал Jenkins «переходом к CI и DevOps». К сожалению, из-за его невероятной мощности, часто размещаемой на больших серверах, это также делает его главной целью для атак крипто-майнинга.
Злоумышленники используют уязвимость CVE-2017-1000353. Помимо создания миллионеров злоумышленников, JenkinsMiner может влиять на серверы, снижая их производительность и отказывая в обслуживании.
Как работает эксплойт-кампания JenkinsMiner?
JenkinsMiner включает в себя отправку двух «последующих запросов к интерфейсу CLI», поэтому «оператор крипто-майнера» использует известную уязвимость CVE-2017-1000353 в реализации десериализации Java Jenkins. Уязвимость вызвана отсутствием проверки сериализованного объекта, что позволяет принимать любые сериализованные объекты.
После отправки первого запроса сеанса второй созданный запрос немедленно выдается. Второй специально созданный запрос содержит «два сериализованных объекта с внедренным кодом PowerShell для выполнения JenkinsMiner».
Майнер был загружен с IP-адреса в Китае, который был присвоен организации «Информационный центр электронного правительства Хуайань».
Несмотря на наличие нескольких пулов майнинга, атака использует только один кошелек.
Несмотря на то, что атака хорошо организована и поддерживается, и многие майнинг-пулы используются для сбора прибыли с зараженных машин, кажется, что оператор использует только один кошелек для всех депозитов и не меняет его с одной кампании на другую. На данный момент получено 3 миллиона долларов.
