Эксплойт для уязвимости в XWiki активно используется для скрытого майнинга криптовалют

Специалисты VulnCheck с помощью специальных систем-приманок зафиксировали многоэтапную цепочку атаки, конечной целью которой является установка на зараженные серверы программы-майнера криптовалют. Атака исходит от IP-адреса 123.25.249.88, который геолокационно относится к Вьетнаму и имеет многочисленные жалобы в базе данных AbuseIPDB, что указывает на его активное использование в противоправной деятельности.

Механизм эксплуатации построен по двухэтапной схеме с временным интервалом не менее 20 минут между этапами, что затрудняет обнаружение атаки традиционными средствами защиты. На первом этапе злоумышленники используют уязвимость для выполнения команды, которая загружает с сервера 193.32.208.24:8080 вредоносный загрузчик и сохраняет его в системную временную директорию под именем /tmp/11909. Важно отметить, что атакующий сервер использует сервис transfer.sh для размещения компонентов вредоносного программного обеспечения.

Второй этап атаки активирует ранее загруженный загрузчик, который, в свою очередь, скачивает и исполняет два сценария. Первый сценарий загружает непосредственно исполняемый файл майнера tcrond, упакованный утилитой UPX для затруднения анализа, и размещает его в скрытых директориях файловой системы. Второй сценарий выполняет настройку окружения, принудительно завершает процессы конкурирующих майнеров и запускает tcrond с конфигурацией для подключения к пулу для майнинга c3pool.org.

Особенностью данной атаки является ее экономическая целесообразность для злоумышленников. В отличие от разрушительных программ-вымогателей (ransomware), скрытый майнинг (coinminer) работает продолжительное время, незаметно используя вычислительные ресурсы жертвы для генерации криптовалюты. Кроме того, сценарий атаки включает команды для очистки истории командной строки и удаления файлов журналов, что значительно усложняет последующее расследование инцидента.

Ситуация с CVE-2025-24893 демонстрирует системную проблему современной кибербезопасности: реальные угрозы часто появляются и активно эксплуатируются до их формального признания и включения в авторитетные базы уязвимостей. В то время как CISA KEV пока не включила эту уязвимость в свой перечень, независимые организации, такие как VulnCheck, Cyble, Shadow Server и CrowdSec, уже в марте 2025 года зафиксировали попытки ее эксплуатации и добавили в свои системы мониторинга.

Для организаций, использующих XWiki, критически важно применять принцип нулевого доверия и проактивного подхода к безопасности. Рекомендуется незамедлительно обновить систему до версий, в которых устранена уязвимость CVE-2025-24893, настроить мониторинг сетевой активности на предмет соединений с указанными IP-адресами, а также реализовать механизмы обнаружения аномального использования процессорных ресурсов, характерного для скрытого майнинга.

Данный инцидент подтверждает, что киберпреступники постоянно совершенствуют тактики и методы атак, ориентируясь не только на максимальный ущерб, но и на долгосрочную, скрытную эксплуатацию ресурсов жертв. Интеграция данных из множества источников угроз, включая системы-приманки и отчеты независимых исследователей, становится необходимым элементом современной стратегии защиты информационной инфраструктуры.

IPv4

• 123.25.249.88
• 193.32.208.24

SHA1

• 0b907eee9a85d39f8f0d7c503cc1f84a71c4de10
• 2abd6f68a24b0a5df5809276016e6b85c77e5f7f
• 5abc337dbc04fee7206956dad1e0b6d43921a868
• 90d274c7600fbdca5fe035250d0baff20889ec2b
• de082aeb01d41dd81cfb79bc5bfa33453b0022ed