با ما به‌روز باشید!
info@nsec.ir
(+98)-313-3915336

30 درصد از شبکه‌های جهان تحت تاثیر RubyMiner

خلاصه: محققان چک‌پوینت یک خانواده‌ی بدافزاری به نام RubyMiner را کشف کردند که وب‌سرور‌های جهان را هدف قرار داده و از منابع آن‌ها برای بهره‌برداری جهت استخراج ارزمجازی Monero استفاده می‌کنند. این بدافزار هر دو سرورهای ویندوزی و لینوکسی را هدف قرار می‌دهد و تلاش می‌کند تا از آسیب‌پذیری‌های قدیمی در PHP، Microsoft IIS و Ruby on Rails برای استقرار استخراج کننده‌ی Monero بهره‌برداری کند.

 

محققان چک‌پوینت یک خانواده‌ی بدافزاری به نام RubyMiner را کشف کردند که وب‌سرور‌های جهان را هدف قرار داده و از منابع آن‌ها برای بهره‌برداری جهت استخراج ارزمجازی Monero استفاده می‌کنند.

RubyMiner اولین بار در هفته‌ی گذشته هنگامی که یک کمپین عظیم وب‌سرور‌های سراسر جهان را (بیشتر ایالات متحده آمریکا، آلمان، انگلستان، نروژ و سوئد) هدف قرار داد، کشف شد.

کارشناسان معتقدند که تنها یک مهاجم پشت این حملات است و او تنها در یک روز تلاش کرد تا یک سوم از شبکه‌های سراسر جهان را به‌خطر بیندازد.

این بدافزار هر دو سرورهای ویندوزی و لینوکسی را هدف قرار می‌دهد و تلاش می‌کند تا از آسیب‌پذیری‌های قدیمی در PHP، Microsoft IIS و Ruby on Rails برای استقرار استخراج کننده‌ی Monero بهره‌برداری کند.

این حمله خیلی پیچیده به نظر نمی‌رسد، مهاجم سعی نمی‌کند که عملیات خود را پنهان کند، اما بیشتر بر روی آلوده کردن تعداد زیادی از سرورهای جهان در زمان کمتر تمرکز دارد.

در زمان گزارش تنها 700 سرور در جهان در 24 ساعت اول حملات به دست هکر افتادند. محققان Certgo مشاهده کردند که مهاجم از آسیب‌پذیری اجرای کد از راه دور CVE-2013-0156 در Ruby on Rails بهره‌برداری می‌کند. مهاجم یک پیلود کدگذاری شده با base64 را در یک درخواست POST ارسال می‌کند و تلاش می‌کند تا مترجم را برای اجرای آن فریب دهد.

پیلود مخرب یک اسکریپت bash است که هر ساعت اجرا شده و یک فایل robots.txt حاوی یک اسکریپت شل را دانلود می‌کند. محققان معتقدند فایل robots.txt همچنین می‌تواند به‌عنوان یک kill switch برای RubyMiner استفاده شود. آن‌ها همچنین دریافتند که یکی از دامنه‌های استفاده شده توسط مهاجم یعنی lochjol.com در یک حمله برای سوءاستفاده از یک آسیب‌پذیری در Ruby On Rails استفاده شده است.