Исследователи Wiz обнаружили кампанию под названием «SeleniumGreed», использующую неправильную конфигурацию в Selenium Grid, широко используемом фреймворке для тестирования веб-приложений, для развертывания модифицированного инструмента XMRig для добычи криптовалюты Monero.
Злоумышленники используют отсутствие стандартной аутентификации в Selenium Grid для доступа к экземплярам тестирования приложений, загрузки файлов и выполнения команд. Манипулируя API Selenium WebDriver, злоумышленники создают обратную оболочку, запускают пользовательский майнер XMRig и используют скомпрометированные рабочие нагрузки узлов Selenium в качестве промежуточных командно-контрольных серверов (C2) для последующих заражений и прокси-серверов майнинговых пулов. Кампания нацелена на старые версии Selenium, но возможна и на более новые версии, что позволяет избежать обнаружения за счет использования менее обслуживаемых и контролируемых экземпляров.
Indicators of Compromise
IPv4 Port Combinations
- 164.90.149.104:9021
- 164.90.149.104:9022
- 192.241.144.69:4447
MD5
- 585fd7777074089aaa3c615169c18170
- 861f7deb8926bb0c6d11f8e81d27b406
SHA1
- 47560b0a57913d01614256e9150b6e6f5e758250
- b64cb7dbf62eb8b9539cc1d7901a487a3fd7de9b
SHA256
- 6852b1102b0efc7ceb47520080fca57eb1a647c4e1c7ff3a40da9757c92ebaab
- fd5f076e99fd2ccb5f8aef5b4f69a8c2bf231808b2480f9d31955154a1509552
