Encore de nouvelles vastes campagnes de cryptojacking

Renato Marinho, de Morphus Labs, sonne le tocsin : des cyber-délinquants s’attaquent aux serveurs Apache Solr dans les versions 7.1 et antérieures pour y déposer un script de production de cryptodeniers. Ces serveurs souffrent de la vulnérabilité référencée CVE-2017-12629 dévoilée au mois d’octobre dernier et liée à un défaut de configuration d’un parseur XML. Ce dernier permet de forcer l’exécution de code à distance ; un démonstrateur d’exploitation de la vulnérabilité a été rendu public une semaine après la divulgation de celle-ci.

La campagne apparaît ambitieuse : en l’espace d’une semaine, plus de 1400 hôtes ont été affectés, notamment en Europe. Le générateur de cryptodeniers utilisé n’est autre que XMRig. Selon Renato Marinho, des similarités renvoient à une autre campagne visant, depuis début janvier, les serveurs Oracle Weblogic.

De quoi ajouter à l’éventail des menaces de type cryptojacking comme Zaelot, qui s’infiltre via une vulnérabilité d’Apache Struts et mine lui-aussi du Monero, ou encore Adylkuzz, documenté par Proofpoint en mai 2017. Tous deux se propagent sur les réseaux des entreprises en exploitant EternalBlue.

Récemment, les chercheurs de Check Point ont détaillé un autre maliciel utilisant XMRig, RubyMiner, qui s’attaque aux serveurs PHP, en profitant de vulnérabilités connues dans Ruby on Rails et Microsoft IIS.

Et il convient d’ajouter à cela PyCryptoMiner. Examiné en début d’année par F5, il vise les serveurs Linux en se propageant via SSH et profitant d’une vulnérabilité affectant les serveurs JBoss, connue depuis l’été dernier.

Mais une nouvelle campagne de cryptojacking vise les serveurs Apache Struts, utilisant cette fois-ci la vulnérabilité CVE-2017-9805, corrigée pourtant depuis le début du mois de septembre dernier. Baptisée RedisWannaMine, elle s’appuie sur un maliciel qui se propage sur les serveurs Redis vulnérables, ainsi que sur les serveurs Windows SMB vulnérables à EternalBlue.

Et il faut enfin compter avec Dofoil, aussi connu sous le nom de Smoke Loader. Dans un billet de blog, les chercheurs de l’équipe de Windows Defender expliquent que le moteur de protection des points de terminaison de Windows en ont bloqué « plus de 80 000 instances » peu avant midi, le 6 mars. Et « au cours des 12 heures suivantes, plus de 400 000 instances ont été enregistrées » ; une vitesse de propagation remarquable.