Новият HolesWarm ботнет, наречен „краля на експлоатация на уязвимости“, използва повече от 20 известни уязвимости, за да проникне в сървърите на Windows и Linux и след това да внедри зловреден софтуер за копаене на криптовалути.
Първо атаките са били забелязани в Китай, но след доклади от фирмата за сигурност Tencent и различни ИТ блогъри, се очаква ботнетът да разшири обхвата си и да се насочи към системи в целия свят.
Основно управляван от сървър за командване и управление (C&C), разположен на m[.]Windowsupdatesupport[.]Org, ботнетът използва уязвимости в:
• Docker
• Jenkins
• Apache Tomcat
• Apache Struts (multiple bugs)
• Apache Shiro
• Apache Hadoop Yarn
• Oracle WebLogic (CVE-2020-14882)
• Spring Boot
• Zhiyuan OA (multiple bugs)
• UFIDA
• Panwei OA
• Yonyou GRP-U8
Tencent Security споделят, че след като зловредният софтуер се установи в заразената система, HolesWarm краде локалните пароли, разпространява се до други компютри в мрежата и след това внедрява XMRig-базиран инструмент за добив на криптовалута.
Ботнетът е най-новият в поредицата ботнети за копаене на криптовалути, които редовно се появяват онлайн. При него липсва техническа изтънченост, а HolesWarm операторите са най-новите кодиращи програми за злонамерен софтуер, които се възползват от големия брой сървъри, работещи с остарял софтуер.
Фирмата за сигурност Intezer Labs е наблюдавала по-ранните атаки на ботнета, които е отбелязала в докладите си в Twitter.
CERT Bulgaria препоръчва:
- Да актуализирате до последна версия използваните от Вас софтуер и операционни системи, в случай, че не са актуализирани;
- Да сканирате компютрите си редовно. В случай на заразяване или при съмнение за зараза на компютър, незабавно го изключете от локалната мрежа, тъй като може да прави опити за заразяване на други компютри
- Да архивирате данните си редовно на сървър или външен диск, който не трябва да остане свързан с компютъра, за да се избегне неговото заразяване. При необходимост това ще ви помогне да възстановите всички данни.
- Да спазвате политиките за управление на паролите – на какъв период се сменят, каква е сложността им, кога последно са променяни паролите на акаунти с най-високи права „administrator” и „root”, как и къде се съхраняват. Паролите трябва да се променят периодично, но най-малко веднъж на 6 месеца.
Повече информация: