Специалисты AhnLab Security Intelligence Center (ASEC) зафиксировали продолжающиеся атаки на уязвимые версии GeoServer, которые используются для установки вредоносного ПО, включая криптомайнеры. Атаки направлены на незащищенные системы по всему миру, включая Южную Корею. В качестве основного вектора атак злоумышленники эксплуатируют уязвимость CVE-2024-36401, позволяющую выполнять произвольный код удаленно.
Описание
GeoServer представляет собой открытый сервер геоинформационных систем (GIS), написанный на Java и предназначенный для обработки пространственных данных. В 2024 году была обнаружена критическая уязвимость (CVE-2024-36401), позволяющая злоумышленникам выполнять команды на сервере без авторизации. С момента публикации информации о ней киберпреступники активно используют этот недостаток для распространения вредоносного ПО.
В сентябре 2024 года эксперты Fortinet сообщили о случаях эксплуатации CVE-2024-36401 для распространения таких угроз, как GOREVERSE, SideWalk, Mirai, Condi и CoinMiner. Аналогичные инциденты были зафиксированы Trend Micro, где хакерская группировка Earth Baxia атаковала государственные учреждения Тайваня с помощью фишинговых кампаний, также эксплуатируя эту уязвимость.
В Южной Корее атаки затронули Windows-системы с установленным GeoServer. Уязвимость была использована для выполнения PowerShell-команд, которые загружали и устанавливали NetCat и криптомайнер XMRig.
NetCat - это сетевая утилита, часто используемая злоумышленниками для создания обратных подключений к командным серверам. В данном случае она применялась для удаленного управления зараженными системами.
После получения доступа злоумышленники загружали скрипт adminc.ps1, который, в свою очередь, устанавливал XMRig - популярный криптомайнер для добычи Monero. В зависимости от операционной системы использовались разные методы: в Windows - PowerShell, в Linux - Bash-скрипты. В Linux-средах дополнительно применялись методы персистентности, такие как добавление команд в Cron для автоматического запуска вредоносного ПО.
Анализ показал, что майнеры нацелены на пул pool.supportxmr.com, используя кошелек злоумышленников для накопления добытых монет. Кроме того, NetCat позволяет преступникам не только майнить криптовалюту, но и проводить другие атаки, включая кражу данных и установку дополнительного вредоносного ПО.
Эксперты ASEC подчеркивают, что атаки с использованием CVE-2024-36401 продолжаются, и призывают администраторов GeoServer немедленно обновлять ПО до актуальных версий, чтобы предотвратить эксплуатацию уязвимости. Также рекомендуется мониторить сетевую активность на предмет подозрительных процессов, связанных с PowerShell, NetCat и XMRig, и применять строгие меры безопасности, включая сегментацию сети и контроль доступа.
Инцидент демонстрирует, что даже спустя месяцы после обнаружения уязвимости киберпреступники активно ее используют, особенно в корпоративных и государственных сетях. Отсутствие своевременных обновлений и слабая защита периметра делают такие системы легкой добычей для злоумышленников, поэтому важно не только внедрять исправления, но и регулярно проводить аудит безопасности.
Индикаторы компрометации
URLs
- http://182.218.82.14/js/1/config.json
- http://182.218.82.14/js/1/gl.txt
- http://182.218.82.14/js/1/gw.txt
- http://182.218.82.14/js/1/s.rar
- http://182.218.82.14/js/1/startup.sh
MD5
- 0b3744373c32dc6de80dfc081200d9f8
- 310c17c19e90381114d47914bcb3ccf2
- 523613a7b9dfa398cbd5ebd2dd0f4f38
- 5e84c2bcca9486b6416a8b27ed4d845e
- 615b348974fb3b5aea898a172fadecf4
