安全研究人员近期观察到一种在线部署的新型恶意软件 RubyMiner ——这是一种在被遗忘的 *** 服务器上发现的加密货币矿工 。据 Check Point 和 Certego 发布的研究结果以及研究员从 Ixia 收到的信息表明，攻击事件始于上周 1 月 9 日至 10 日。

攻击 Linux 和 Windows 服务器

Ixia 安全研究员 Stefan Tanase 指出，RubyMiner 的目标是 Windows 和 Linux 系统。恶意软件 RubyMiner 背后的团队使用一个名为 p0f 的 web 服务器指纹工具来扫描和识别运行过时软件的 Linux 和 Windows 服务器。一旦识别到未打补丁的服务器，攻击者就可以将已知的漏洞部署在易受攻击的服务器上，然后用 RubyMiner 来感染他们。

Check Point 和 Ixia 表示，他们已经观察到攻击者在最近的攻击浪潮中部署了以下漏洞：

◍ Ruby on Rails XML处理器 YAML 反序列化代码执行（CVE-2013-0156）

◍ PHP php-cgi 查询字符串参数代码执行（CVE-2012-1823；CVE-2012-2311； CVE-2012-2335；CVE -2012-2336；CVE-2013-4878）

◍ 微软 IIS ASP 脚本的源代码泄露（CVE-2005-2678 ）

攻击者将恶意代码隐藏在 robots.txt 文件中

在上周发布的一份报告中，Check Point 根据从 honeypot 服务器收集的数据，在 Linux 系统上分解了 RubyMiner 的感染例程，并从中认识到攻击者在某些方面的创造力：

▨ 可利用代码包含了一系列 shell 命令

▨ 攻击者清除了所有的 cron 作业

▨ 攻击者添加了一个新的计时 cron 作业

▨ 新的 cron 作业下载了在线托管的脚本

▨ 该脚本托管在多个域的 robots.txt 文件内

▨ 脚本下载并安装合法的 XMRig Monero 矿工应用程序修改版本。

Check Point 安全研究员 Lotem Finkelstein 则表示，目前攻击者瞄准了 Windows IIS 服务器，但是并没有获得 RubyMiner 的 Windows 版本副本。此外 ，Check Point 称 2103 年的一起恶意软件活动部署了与 RubyMiner 相同的 Ruby on Rails 漏洞， Check Point 猜测其背后团队很可能正试图扩展 RubyMiner 。

Monero 采矿恶意软件的发展趋势日益明显

总体而言，近几个月来传播加密货币挖掘恶意软件的尝试有所增加，尤其是挖掘 Monero 的恶意软件。

除了密码劫持事件（也是 Monero ）之外，2017 年的一些 Monero 挖掘恶意软件家族和僵尸 *** 还包括 Digmine、针对 WordPress 网站的未知僵尸 *** 、Hexmen、Loapi、Zealot、aterMiner、 针对 IIS 6.0 服务器的未知僵尸 *** 、CodeFork 以及 Bondnet 等。而就在 2018 年的前两个星期，已经出现了针对 Linux 服务器的 PyCryptoMiner 和另外一个针对 Oracle WebLogic 服务器的组织。大多数针对 Web 服务器的事件中，研究人员发现攻击者试图使用最近的漏洞攻击，因为会有更多易感染的机器。但奇怪的是，RubyMiner 攻击者却使用非常古老的漏洞，并且大多数安全软件都能检测到这些漏洞。

据研究员 Finkelstein 透露，RubyMiner 攻击者可能是故意寻找被遗弃的机器，比如被遗忘的个人电脑和带有旧操作系统的服务器 ，感染设备后确保在安全雷达下进行长时间的采矿。

RubyMiner 团伙已感染 700 多台服务器

根据 RubyMiner 恶意软件部署的自定义 XMRig 矿工中发现的钱包地址，Check Point 初步统计受到 RubyMiner 感染的服务器数量在 700 个左右，攻击者的收入约为  540  美元。一些专家认为若攻击者开始使用最近的漏洞，其幕后团队可能会赚取更多的钱。例如，一个从 2017 年 10 月开始针对 Oracle WebLogic 服务器的黑客组织就曾获利 226,000 美元 。

消息来源：Bleeping Computer，编译：榆榆，校审：FOX;

本文由 HackerNews.cc 编译整理，封面来源于 *** ；

转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。