خلاصه: محققان چکپوینت یک خانوادهی بدافزاری به نام RubyMiner را کشف کردند که وبسرورهای جهان را هدف قرار داده و از منابع آنها برای بهرهبرداری جهت استخراج ارزمجازی Monero استفاده میکنند. این بدافزار هر دو سرورهای ویندوزی و لینوکسی را هدف قرار میدهد و تلاش میکند تا از آسیبپذیریهای قدیمی در PHP، Microsoft IIS و Ruby on Rails برای استقرار استخراج کنندهی Monero بهرهبرداری کند.
محققان چکپوینت یک خانوادهی بدافزاری به نام RubyMiner را کشف کردند که وبسرورهای جهان را هدف قرار داده و از منابع آنها برای بهرهبرداری جهت استخراج ارزمجازی Monero استفاده میکنند.
RubyMiner اولین بار در هفتهی گذشته هنگامی که یک کمپین عظیم وبسرورهای سراسر جهان را (بیشتر ایالات متحده آمریکا، آلمان، انگلستان، نروژ و سوئد) هدف قرار داد، کشف شد.
کارشناسان معتقدند که تنها یک مهاجم پشت این حملات است و او تنها در یک روز تلاش کرد تا یک سوم از شبکههای سراسر جهان را بهخطر بیندازد.
این بدافزار هر دو سرورهای ویندوزی و لینوکسی را هدف قرار میدهد و تلاش میکند تا از آسیبپذیریهای قدیمی در PHP، Microsoft IIS و Ruby on Rails برای استقرار استخراج کنندهی Monero بهرهبرداری کند.
این حمله خیلی پیچیده به نظر نمیرسد، مهاجم سعی نمیکند که عملیات خود را پنهان کند، اما بیشتر بر روی آلوده کردن تعداد زیادی از سرورهای جهان در زمان کمتر تمرکز دارد.
در زمان گزارش تنها ۷۰۰ سرور در جهان در ۲۴ ساعت اول حملات به دست هکر افتادند. محققان Certgo مشاهده کردند که مهاجم از آسیبپذیری اجرای کد از راه دور CVE-2013-0156 در Ruby on Rails بهرهبرداری میکند. مهاجم یک پیلود کدگذاری شده با base64 را در یک درخواست POST ارسال میکند و تلاش میکند تا مترجم را برای اجرای آن فریب دهد.
پیلود مخرب یک اسکریپت bash است که هر ساعت اجرا شده و یک فایل robots.txt حاوی یک اسکریپت شل را دانلود میکند. محققان معتقدند فایل robots.txt همچنین میتواند بهعنوان یک kill switch برای RubyMiner استفاده شود. آنها همچنین دریافتند که یکی از دامنههای استفاده شده توسط مهاجم یعنی lochjol.com در یک حمله برای سوءاستفاده از یک آسیبپذیری در Ruby On Rails استفاده شده است.
