![图片[1]安全114-安全在线-安全壹壹肆-网络安全黄页-网络安全百科黑客利用 Redis 和 GeoServer 漏洞,推动僵尸网络与挖矿活动](https://www.anquan114.com/wp-content/uploads/2024/12/20241223180043950-image.png)
网络安全研究人员提醒,多起攻击行动正在利用已知安全漏洞和暴露的 Redis 服务器从事多种恶意活动,包括将受害设备变为物联网僵尸网络、住宅代理或加密货币挖矿基础设施。
第一类攻击涉及对 CVE-2024-36401(CVSS 评分:9.8)的利用,这是一种影响 OSGeo GeoServer GeoTools 的严重远程代码执行漏洞,自去年底以来已被武器化用于网络攻击。
Palo Alto Networks Unit 42 的研究人员 Zhibin Zhang、Yiheng An、Chao Lei 和 Haozhe Zhang 在技术报告中表示:“犯罪分子利用该漏洞部署合法的软件开发工具包(SDK)或修改过的应用,以通过网络共享或住宅代理获得被动收入。”
“这种被动收入的方式尤其隐蔽。它模仿了一些正规应用开发者的变现策略,这些开发者选择 SDK 而不是展示传统广告。这可能是出于善意的选择,旨在保护用户体验并提升应用留存率。”
该网络安全公司表示,攻击者至少自 2025 年 3 月初起就开始探测暴露在互联网上的 GeoServer 实例,借此植入由对手控制的服务器下载的定制可执行文件。与常见的 HTTP 服务器不同,这些载荷通过一个私有文件共享服务 transfer.sh 分发。
此次行动中使用的应用程序尽量保持低调,几乎不消耗资源,同时通过隐秘的方式利用受害者的网络带宽获利,而无需分发定制恶意软件。这些二进制文件由 Dart 编写,旨在与合法的被动收入服务交互,悄悄利用设备资源进行带宽共享等活动。
这种方式对各方来说都是“双赢”:应用开发者通过集成该功能获得报酬,而网络犯罪分子则能借助看似无害的渠道,从闲置带宽中获利。
Unit 42 表示:“一旦运行,可执行文件会在后台秘密工作,监控设备资源,并在可能时非法共享受害者带宽。这为攻击者带来被动收入。”
该公司收集的遥测数据显示,全球共有 99 个国家的 7100 多个 GeoServer 实例暴露在互联网上,其中中国、美国、德国、英国和新加坡位居前五。
Unit 42 指出:“这场持续的行动展示了攻击者在变现受害系统方面的重要演进。攻击者的核心策略强调隐蔽且持久的收益,而不是对资源的激烈利用。这种方式更倾向于长期、低调的收入生成,而非容易被察觉的技术。”
与此同时,Censys 披露了一个大规模物联网僵尸网络 PolarEdge 的基础设施,该网络由企业级防火墙及路由器、网络摄像头和 VoIP 电话等消费类设备组成,通过利用已知安全漏洞形成。目前其确切用途尚不清楚,但很明显它并未被用于无差别的大规模扫描。
攻击者在获得初始访问权限后,会植入一个基于 Mbed TLS 的定制 TLS 后门,该后门可实现加密的指挥与控制、日志清理以及动态基础设施更新。该后门通常被部署在高位的非标准端口上,可能是为了绕过传统的网络扫描与防御监控范围。
PolarEdge 的特征符合“运营中继箱”(ORB)网络。攻击面管理平台指出,该行动可能最早可追溯至 2023 年 6 月,截至本月,活跃设备数量已达约 4 万台,感染设备中超过 70% 分布在韩国、美国、中国香港、瑞典和加拿大。
安全研究员 Himaja Motheram 表示:“ORB 是被攻陷的出口节点,用来转发流量,以便为威胁行为者执行更多的入侵或攻击。ORB 的价值在于,攻击者无需接管设备的核心功能,它们可以在后台安静地中继流量,而设备仍然保持正常运行,从而让设备所有者或运营商难以察觉。”
近几个月来,攻击者还利用 DrayTek、TP-Link、Raisecom 和 Cisco 等厂商产品中的漏洞入侵设备,并部署一个代号为 gayfemboy 的 Mirai 变种,表明攻击范围正在扩大。
Fortinet 表示:“gayfemboy 行动覆盖多个国家,包括巴西、墨西哥、美国、德国、法国、瑞士、以色列和越南。其目标涉及广泛行业,如制造业、科技、建筑业,以及媒体或通信。”
gayfemboy 能够针对多种系统架构,包括 ARM、AArch64、MIPS R3000、PowerPC 和 Intel 80386。它具备四个主要功能:
- Monitor:跟踪线程和进程,并具备持久化和沙箱逃避技术
- Watchdog:尝试绑定到 UDP 端口 47272
- Attacker:通过 UDP、TCP 和 ICMP 协议发起 DDoS 攻击,并连接远程服务器获取命令以实现后门访问
- Killer:在接收到服务器指令或检测到沙箱环境时自我终止
安全研究员 Vincent Li 表示:“虽然 gayfemboy 继承了 Mirai 的结构元素,但它引入了显著的改进,提升了复杂性和规避检测的能力。这一演变反映出现代恶意软件的日益复杂化,也凸显了主动、情报驱动防御策略的必要性。”
与此同时,另一起加密劫持行动也被曝光。威胁行为者 TA-NATALSTATUS 正在针对暴露的 Redis 服务器投放加密货币挖矿程序。
攻击方式包括扫描 6379 端口上的未认证 Redis 服务器,然后执行合法的 CONFIG、SET 和 SAVE 命令,进而创建一个恶意的定时任务,运行脚本以关闭 SELinux、规避防御、阻断 Redis 端口的外部连接(防止其他攻击者入侵),并终止竞争对手的挖矿进程(如 Kinsing)。
攻击者还会部署脚本安装 masscan 或 pnscan 等工具,随后执行类似“masscan –shard”的命令扫描互联网上的易受攻击 Redis 实例。最后一步是通过每小时的定时任务建立持久化,并启动挖矿进程。
网络安全公司 CloudSEK 表示,该活动是 Trend Micro 在 2020 年 4 月披露的一次攻击行动的演化版本,新增了类似 rootkit 的功能,以隐藏恶意进程并修改文件时间戳,从而迷惑取证分析。
研究员 Abhishek Mathew 表示:“通过将系统二进制文件 ps 和 top 重命名为 ps.original,并用恶意包装器替代,它们会在输出中过滤掉自身的恶意进程。管理员在使用标准工具寻找矿工进程时,将无法发现它的存在。他们还将 curl 和 wget 分别重命名为 cd1 和 wd1。这是一种简单但巧妙的方法,可以绕过那些专门监控 curl、wget 下载行为的安全产品。”
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
暂无评论内容