La explotación de los servidores web Apache2 a menudo requiere atacar vulnerabilidades como la ejecución remota de código (RCE) y fallas de recorrido de ruta.
Debido a que Apache se usa ampliamente, estos exploits representan un riesgo significativo para muchas organizaciones que no implementan actualizaciones y medidas de seguridad oportunas.
Los investigadores de Elastic identificaron recientemente un nuevo y sofisticado malware para Linux que explota los servidores web Apache2.
Esta sofisticada campaña de malware para Linux se descubrió en marzo de 2024 y se descubrió que apuntaba a servidores vulnerables mediante la explotación del servidor web 'Apache2'.
Malware para Linux que explota el servidor web Apache2
Los atacantes introdujeron armas complejas como KAIJI (para ataques DDoS), RUDEDEVIL (minero de criptomonedas) y malware personalizado.
Establecieron persistencia utilizando GSOCKET, una herramienta utilizada para comunicaciones cifradas.
Analice enlaces sospechosos utilizando la nueva herramienta de navegación segura de ANY.RUN: pruébela gratis
Para evitar la detección aquí, la herramienta se disfrazó de “proceso del núcleo”. Esta campaña utilizó canales C2, bots de Telegram y trabajos cron para operaciones remotas.
Un posible esquema de minería de Bitcoin/XMR que involucra una “API de juegos de azar” sugirió una actividad de “lavado de dinero”.
Los atacantes utilizaron una variedad de técnicas específicas de Linux. Y aquí hemos mencionado esas técnicas a continuación: –
Funcionamiento de la “política SELinux”. Uso de montajes de enlace para ofuscar. CVE-2021-4034 ('pwnkit') se explota para escalar privilegios.
Usaron “pspy64'' para el reconocimiento del sistema e intentaron implementar binarios personalizados (“apache2'' y “apache2v86'') que contenían cadenas “codificadas en XOR'', pero encontraron problemas de ejecución.
La sofisticación de este malware es evidente por el uso de múltiples mecanismos de persistencia, como 'servicios Systemd', 'scripts SysVinit' y 'cambios de perfil bash'.
A lo largo de la campaña, los atacantes adaptaron continuamente su malware y sus tácticas para explotar los sistemas Linux evadiendo la detección y maximizando el uso de los recursos del sistema para operaciones de “criptominería” y “DDoS”.
Los atacantes comenzaron a realizar reconocimientos utilizando herramientas como 'whatserver.sh' y recopilaron información del servidor como 'FQDN' a partir de 'certificado SSL' y 'detalles del sistema'.
Después de no poder elevar los privilegios a root, aprovecharon “GSOCKET'' en una “conexión SSL'' haciéndose pasar por un “proceso kernel'' llamado “(mm_percpu_wq)'' para obtener acceso como “www-data '' usuario. Persistencia establecida.
Configuraron un “trabajo cron” que descargaba y ejecutaba un script llamado “ifindyou” cada minuto.
El script implementó “XMRIG'' que se conecta al grupo com no minado(.) para extraer Bitcoin para la dirección de billetera “1CSUkd5FZMis5NDauKLDkcpvvgV1zrBCBz''.
Dirección de billetera (fuente: Elastic)
El malware utilizó el nombre de host de la máquina infectada como identificador para el proceso de minería.
Además de esto, los atacantes también implementaron un “script Python” que interactuaba con una “versión de demostración de un juego de apuestas en línea”.
Este script incluye las siguientes funciones: “Autenticación de usuario'' (“obteneruid''), “Transmisión de datos'' (“enviardatos''), “Simulación de apuestas'' (“hacerjugada''), y Se incluyó “procesamiento de rondas de bonificación'' (“completarbono”).
Comuníquese con el servidor remoto en gcp.pagaelrescate(.)com mediante solicitudes “HTTP POST” y “GET”. Esto se debe a que ayuda a automatizar el proceso de juego al tiempo que incorpora retrasos que imitan el comportamiento humano.
El uso de un entorno de demostración con script sugiere que probablemente se utilizó para probar o perfeccionar el enfoque, tal vez en preparación para ataques más sofisticados contra plataformas de apuestas en vivo.
Seminario web gratuito sobre cómo proteger su pequeña empresa de las ciberamenazas avanzadas -> Seminario web gratuito
New Sophisticated Linux Malware Exploiting Apache2 Web Servers
