Серверы WordPress, Joomla и JBoss взламывают и заставляют майнить Monero
21.09.2017
В начале сентября 2017 года исследователи "Лаборатории Касперского" сообщали, что число майнинговой малвари растет угрожающими темпами. Если в 2013 году аналитики компании зафиксировали всего 205 000 атак таких вредоносов, то за первые восемь месяцев 2017 года их количество превысило уже 1,65 млн.
Но если статистика "Лаборатории Касперского" больше относилась к домашним пользователям и обычным десктопам, то исследователи IBM X-Force проанализировали ситуацию в корпоративных сетях.
По данным IBM X-Force, количество атак на корпоративные сети с целью майнинга криптовалют возросло в шесть раз за период с января по август 2017 года. Специалисты пишут, что злоумышленники активно применяют стеганографию, то есть прячут вредоносный код в файлах изображений, которые затем размещают на зараженных серверах популярных CMS (WordPress, Joomla и JBoss). Для первичной компрометации серверов злоумышленники применяют самые разные техники, "обширные наборы эксплоитов" и CMDi (command injection).
Непосредственно для майнинга преступники чаще всего используют легитимный инструмент Minerd, или его Linux-порт kworker. Также сообщается, что атакующих интересуют вовсе не Bitcoin и Ethereum, а криптовалюты, которые работают с протоколом CryptoNote. В основном злоумышленники майнят Monero (XMR), но также их внимание привлекали:
