Найден червь или вредоносное ПО на основе Golang, которое быстро распространяется. В течение последних нескольких месяцев оно сбрасывало майнеры криптовалюты XMRig для серверов Linux и Windows. Это вредоносное ПО работает на разных платформах с червеобразными атрибутами, которые помогают ему распространяться на многие другие системы, заставляя несколько служб использовать клиентские фреймворки, включая Tomcat, MySQL, WebLogic и Jenkins, которые, согласно нескольким отчетам, имеют более слабые пароли.
Те, кто атакует серверы этим червем, активно обновляют его возможности через сервер C2 (командно-контрольный) с тех пор, как он был обнаружен впервые. Это явный намек на вредоносное ПО, которое активно поддерживается экспертами. Серверы C2 развернуты для размещения PowerShell-дроппера или bash-скрипта на основе платформы, на которую направлена атака. На нем также размещен бинарный червь, основанный на Golang, и, конечно же, майнер XMRig, который скрытно используется для майнинга криптовалюты Monero на устройствах, которые заражены и в противном случае не поддаются отслеживанию.
Эксперты утверждают, что этот двоичный червь ELF и скрипт bash dropper полностью не обнаружены в VirusTotal. Червь проявляет себя на других ПК посредством сканирования и принудительного использования клиентских служб списками учетных данных и распыления паролей. Более старые версии червя также были замечены в попытках использовать уязвимости, связанные с реализацией удаленного кода Oracle WebLogic CVE-2020-14882.
После того, как какой-либо сервер скомпрометирован, скрипт загрузчика используется для сброса бинарного червя на основе Golang и майнера XMRig. Это ld.ps1 и ld.sh для Windows и Linux соответственно. Вредоносная программа автоматически устраняет себя, если обнаруживает, что зараженные системы прослушивают порт 52013. Если порт не используется, то червь открывает свой собственный сокет для сети. Червь имеет почти идентичный код для вредоносных программ ELF и PE, и необнаружение вредоносной программы ELF также указывает на то, что риски на основе Linux по-прежнему трудно обнаружить в случае большинства платформ для такого обнаружения и обеспечения безопасности.
Для борьбы с такими атаками, связанными с червями, пользователи должны ограничить вход в систему, одновременно меняя свои пароли на те, которые сложнее угадать. Это должно быть сделано во всех интернет-сервисах, которые могут быть раскрыты. Двухфакторная аутентификация также должна быть развернута как можно чаще. Периодическое обновление программного обеспечения также очень важно. Люди также должны убедиться, что их серверы не могут быть доступны с помощью Интернета, пока это не станет обязательным в каком-либо сценарии. Вот некоторые из методов, которые следует использовать для успешного сдерживания этой угрозы.