Z0Miner-Malware verbreitet sich über ungepatchte Elasticsearch- und Jenkins-Server

Ein bösartiges Mining-Botnetz, das letztes Jahr entdeckt wurde, hat es auf ungepatchte Jenkins- und Elasticsearch-Server abgesehen, um die Kryptowährung Monero (XMR) zu schürfen.

Laut Sicherheitsforschern des Network Security Research Lab (360 Netlab) von Qihoo 360 entdeckte das Tencent-Sicherheitsteam letztes Jahr z0Miner, das die Schwachstelle WebLogic bezüglich der nicht autorisierten Remote-Befehlsausführung zur Verbreitung ausnutzte. Forscher sagten, dass verschiedene Mining-Malware-Familien inmitten des Anstiegs der Kryptowährungswerte aktiver geworden sind.

Z0Miner schlug letztes Jahr zu, als Tencent Security die Malware verfolgte, die zwei WebLogic Pre-Auth RCE-Bugs ausnutzte, die als CVE-2020-14882 und CVE-2020-14883 verfolgt wurden. Damals schätzte das Team von Sicherheitsanalysten, dass der Miner rund 5.000 Server kompromittiert hatte, indem er „sorgfältig konstruierte Datenpakete“ an die anfälligen Systeme schickte. Die Malware bewegte sich auch seitlich über SSH.

Zuvor hatte Oracle bereits in einem Security Bulletin vor Schwachstellen in WebLogic-Komponenten gewarnt. Damals hieß es laut Recherchen des Cybersicherheitsunternehmens Rapid7, dass der Fehler „trivial auszunutzen“ sei.

Forscher sagten, dass sich die Malware seitdem geändert hat, um nach Systemen zu suchen und diese zu infizieren, indem sie Schwachstellen bei der Remote-Befehlsausführung in Elasticsearch und Jenkins ausnutzt.

Die Malware nutzt Exploits, die auf eine Elasticsearch-RCE-Schwachstelle abzielen – verfolgt als CVE-2015-1427 – und eine ältere RCE, die sich auf den Jenkins-Server auswirkt, um einen Server zu kompromittieren. Anschließend lädt es ein bösartiges Shell-Skript herunter, um alle konkurrierenden Miner zu stoppen. Als nächstes richtet es einen Cron-Job ein, um regelmäßig schädliche Skripte auf Pastebin herunterzuladen und auszuführen. Forscher sagten, dass diese Skripte derzeit nur einen Exit-Befehl haben, konnten aber nicht ausschließen, dass in Zukunft weitere bösartige Befehle hinzugefügt werden könnten.

Anschließend lädt es seine Mining-Software von drei URLs herunter und führt sie aus, die eine Mining-Konfigurationsdatei, einen XMRig-Miner und ein Miner-Starter-Shell-Skript enthalten. Laut Forschern wurden bisher über 22 XMRs im Wert von 4.600 $ abgebaut, aber Cyberkriminelle verwenden oft viele Wallets, sodass die Gesamtzahl viel höher sein könnte.

Die Forscher empfahlen den Benutzern von Elasticsearch und Jenkins, ihre Installationen zu überprüfen und sie zu aktualisieren, um diese Exploits so schnell wie möglich zu patchen. Sie empfahlen Organisationen außerdem, Elasticsearch und Jenkins auf anormale Prozesse und Netzwerkverbindungen zu überprüfen und relevante IP-Adressen und URLs zu überwachen und zu blockieren.