Обнаружен многолетний Linux-криптомайнер, использующий легальные сайты для распространения вредоносного ПО

Недавнее расследование VulnCheck выявило кампанию по майнингу криптовалют, которая годами оставалась незамеченной. Злоумышленник, стоящий за этой операцией, используя майнер Linuxsys, атакует уязвимые системы как минимум с 2021 года, придерживаясь последовательной стратегии, активно использующей взломанные легитимные веб-сайты для распространения вредоносного ПО.

Эту кампанию сложнее обнаружить, поскольку злоумышленники используют реальные веб-сайты в качестве каналов доставки вредоносного ПО. Вместо того, чтобы размещать вредоносные данные на подозрительных доменах, они взламывают сторонние сайты с действующими SSL-сертификатами и размещают там ссылки на скачивание. Это не только помогает им обходить множество фильтров безопасности, но и позволяет держать свою основную инфраструктуру (например, сайт-загрузчик repositorylinux.org ) на расстоянии от реальных файлов вредоносного ПО.

В период с 1 по 16 июля этого года аналитики VulnCheck зафиксировали неоднократные попытки эксплойта с IP-адреса 103.193.177.152 против экземпляра Apache 2.4.49. Эти попытки были связаны с уязвимостью CVE-2021-41773 . Хотя эта уязвимость не нова и продолжает пользоваться популярностью, эксплуатирующая её организация выделяется.

Злоумышленники использовали простой скрипт linux.sh , который скачивает как файл конфигурации, так и исполняемый файл Linuxsys с пяти взломанных веб-сайтов. Среди них такие домены, как prepstarcenter.com , wisecode.it и dodoma.shop , которые в остальном выглядят как обычные сайты.

Согласно сообщению в блоге VulnCheck, опубликованному на Hackread.com в среду, список не был случайным. Это давало злоумышленникам запасные варианты на случай, если один из сайтов будет закрыт или перестанет работать, и вредоносное ПО продолжало бесперебойно распространяться.

Файл конфигурации майнера, полученный с этих сайтов, указывает на hashvault.pro как на майнинговый пул и идентифицирует кошелёк, связанный с этой операцией. На этот кошелёк с января 2025 года поступали небольшие выплаты, в среднем около 0,024 XMR в день, что составляет около 8 долларов США.

Хотя 8 долларов кажутся незначительной суммой, эта операция не обязательно предполагает высокий доход. Постоянство и продолжительность указывают на другие цели или, возможно, на более активную добычу в других местах, которая пока не наблюдалась.

Если отследить историю Linuxsys в прошлом, то он впервые появился в 2021 году вблоге Хэла Померанца, уважаемого эксперта по цифровой криминалистике Linux и Unix, где он анализировал эксплуатацию той же CVE. С тех пор он был связан с множеством уязвимостей, о которых сообщалось в отчётах нескольких компаний, занимающихся кибербезопасностью. Среди них — недавние CVE, такие как 2023-22527 , 2023-34960 и 2024-36401 .

Все эти уязвимости безопасности эксплуатировались с помощью n-дневной эксплуатации уязвимости, размещения контента на скомпрометированной веб-инфраструктуре и постоянных операций майнинга. n-дневная уязвимость — это ошибка безопасности, которая уже известна и обычно имеет доступное исправление. Название просто означает, что уязвимость была известна в течение определенного количества дней, где n — это количество дней, прошедших с момента первого объявления об ошибке или её устранения.

Есть также некоторые свидетельства того, что эта операция не ограничивается Linux. На тех же скомпрометированных хостах были обнаружены два исполняемых файла Windows, nssm.exe и winsys.exe . Хотя VulnCheck не зафиксировал их активность, их наличие предполагает более широкий охват, выходящий за рамки систем Linux.

Вероятно, эта кампания осталась столь незаметной благодаря сочетанию тщательного выбора целей и преднамеренного избегания ханипотов . VulnCheck отмечает, что злоумышленник, по-видимому, предпочитает среды с высоким уровнем взаимодействия, а это означает, что типичные серверы-приманки часто полностью пропускают эту активность. Этот осторожный подход, вероятно, помог кампании не привлекать слишком много внимания, несмотря на многолетнюю активность.

Компания VulnCheck выпустила правила для Suricata и Snort, выявляющие попытки эксплуатации всех известных связанных уязвимостей CVE. Индикаторами компрометации являются IP-адреса, URL-адреса и хэши файлов, связанных с атакой. Также были разработаны правила обнаружения, которые специалисты по безопасности могут использовать для идентификации DNS-запросов и HTTP-трафика, связанного с загрузчиком и начальными скриптами полезной нагрузки.