Исследователи из центра ASEC (AhnLab SEcurity intelligence Center) продолжают отслеживать активность злоумышленников, эксплуатирующих критическую уязвимость в открытом геоинформационном сервере GeoServer. Целью атак остается установка скрытых майнеров (криптоджекинг), однако тактики постоянно развиваются. Ранее специалисты уже сообщали о кампаниях, в которых через уязвимость CVE-2024-36401 устанавливались майнеры и NetCat. Новые данные показывают, что атаки не только продолжаются, но и становятся более изощренными, вовлекая несколько независимых групп угроз.
Описание
GeoServer представляет собой популярный открытый сервер для работы с геопространственными данными, написанный на Java. Уязвимость CVE-2024-36401, позволяющая выполнять произвольный код без авторизации, была обнародована в 2024 году. Практически сразу она привлекла внимание киберпреступников. В сентябре 2024 года компания Fortinet сообщила о случаях эксплуатации этой уязвимости для распространения таких вредоносных программ, как GOREVERSE, SideWalk, Mirai, Condi и майнеров. Кроме того, аналитики Trend Micro задокументировали кампанию группы Earth Baxia, которая использовала CVE-2024-36401 для целевых фишинговых атак на организации в Тайване. Хотя точный механизм эксплуатации в каждом случае может отличаться, факт нацеливания на среды с уязвимыми версиями GeoServer однозначно указывает на использование известной уязвимости.
ASEC выделяет три основных типа атак, которые различаются по методам внедрения и используемому вредоносному ПО. Первый тип (Type A) связан с ранее известной группировкой, использующей тот же кошелек для майнинга. Злоумышленники используют уязвимый GeoServer для выполнения PowerShell-команд, которые, в свою очередь, запускают Bash-скрипты через "bash.exe". Эти скрипты загружают и устанавливают майнер XMRig, а также вспомогательные пакеты. Интересно, что та же группа также атакует серверы WegLogic, что указывает на широкое сканирование интернета в поисках любых уязвимых сервисов, а не только GeoServer. Майнеры настраиваются на подключение к пулам, таким как pool.supportxmr[.]com, для добычи криптовалюты Monero.
Второй тип атак (Type B) демонстрирует более сложный подход. Здесь злоумышленники используют утилиту certutil для загрузки первоначального вредоносного файла. Этот файл представляет собой самораспаковывающийся архив RAR SFX, который содержит XMRig и всю необходимую конфигурацию. Вредоносная программа устанавливает свои компоненты в каталог, маскирующийся под легальную среду Java, например, "C:\Program Files\Java\jre1.9.2_251". Затем для постоянной работы (persistence) майнер регистрируется как служба с помощью NSSM, маскируясь под процесс "javaws.exe". Особенностью этого варианта является то, что XMRig был собран злоумышленниками самостоятельно и содержит конфигурационные данные, включая адреса пулов, внутри своего кода, а не во внешнем файле config.json. Для дополнительной защиты используется загрузчик "javap.exe", который расшифровывает и выполняет в памяти файл "hello.dat", содержащий сам майнер.
Третий тип (Type C) представляет наибольший интерес с точки зрения потенциальной угрозы. Эта группа известна не только установкой майнеров, но и попытками развернуть дополнительные инструменты, такие как AnyDesk для удаленного доступа, и собственный загрузчик (downloader). Хотя конечная полезная нагрузка (payload) с сервера управления на момент анализа не загружалась, сама процедура внедрения хорошо документирована. Злоумышленники используют GeoServer для выполнения PowerShell, который запускает пакетный файл "setupcache.bat". Этот файл загружает архив, содержащий 7-Zip, NSSM и XMRig, после чего распаковывает его и устанавливает майнер как службу. Примечательно, что в разных атаках использовалось не менее пяти URL-адресов для загрузки, а архив назывался по-разному: "caches.zip", "cache.zip", "w3wp.zip" и "iis.zip". Кроме того, эта группа предпринимала активные действия для обхода защитных механизмов. Они пытались добавить путь к своему загрузчику "systemd" в исключения Windows Defender и отключить его. Собственный загрузчик предназначен для получения и выполнения в памяти дополнительных команд с C&C-сервера, что делает эту кампанию потенциально более опасной, чем просто криптоджекинг.
В заключение, с момента раскрытия уязвимости CVE-2024-36401 в GeoServer случаи ее эксплуатации для установки вредоносного ПО продолжают фиксироваться. Различные группы угроз целенаправленно сканируют интернет в поисках уязвимых экземпляров GeoServer для развертывания майнеров. Установка криптомайнера приводит к неавторизованному использованию вычислительных ресурсов системы для добычи Monero, что вызывает сбои в работе и финансовые потери из-за повышенного потребления электроэнергии и износа оборудования. Более того, сопутствующая установка таких инструментов, как NetCat или AnyDesk, создает бэкдоры, которые могут быть использованы для дальнейших атак, кража данных или установки другого вредоносного ПО, например, программ-вымогателей (ransomware). Эксперты настоятельно рекомендуют организациям, использующим GeoServer, немедленно обновить его до последней версии, устраняющей уязвимость CVE-2024-36401, и обеспечить регулярный мониторинг сетевой активности и использования системных ресурсов на предмет аномалий, характерных для скрытого майнинга.
Индикаторы компрометации
IPv4
- 104.243.43.115
- 154.89.152.204
- 185.208.156.197
- 203.91.76.58
Domains
- aaaaaaaa.cyou
- asia.aaaaaaaa.cyou
- eu.aaaaaaaa.cyou
- ssl.aaaaaaaa.cyou
- us.aaaaaaaa.cyou
URLs
- http://119.194.153.31:8080/icon/js/config.json
- http://119.194.153.31:8080/icon/js/l.txt
- http://119.194.153.31:8080/icon/js/p.sh
- http://119.194.153.31:8080/icon/js/s.rar
- http://119.194.153.31:8080/icon/js/solrd.exe
MD5
- 04101ba4061732ed0716f554cb7d6539
- 05fe0e7e4e181ee77749f334e2d7b10f
- 1136efb1a46d1f2d508162387f30dc4d
- 21c5171fb746b93913efdaac328d91bd
- 2517826a165193105923233e13b418d4
