Уязвимость CVE-2024-36401 угрожает геосерверам майнерами и вредоносом

Уязвимость CVE-2024-36401 угрожает геосерверам майнерами и вредоносом

Источник: asec.ahnlab.com

Аналитический центр безопасности AhnLab (ASEC) зафиксировал рост активности злоумышленников, нацеливающихся на незащищённые геосерверы. Ключевым объектом атак стала недавно опубликованная уязвимость CVE-2024-36401, позволяющая выполнять удалённый код без аутентификации. Хакеры используют её для внедрения майнеров и вредоносных программ, что создаёт серьёзные риски как для коммерческих, так и для государственных структур.

Основные угрозы и методы эксплуатации

Уязвимость CVE-2024-36401 позволяет злоумышленникам запускать произвольный код на геосерверах, не требуя предварительной авторизации. Это даёт возможность обходить стандартные меры защиты и быстро распространять вредоносное ПО, среди которого особенно выделяются:

  • GOREVERSE
  • SideWalk
  • Mirai
  • Condi
  • CoinMiner

При этом особое внимание стоит уделить недавним атакам группировки Earth Baxia, которая организовала кампании с использованием скрытого фишинга в правительственных учреждениях Тайваня, комбинируя его с эксплуатацией CVE-2024-36401.

Технические детали атак

Во время внутренних инцидентов злоумышленники эксплуатировали уязвимость в средах Windows, где установлены геосерверы без необходимых патчей. В ходе атак выполнялась PowerShell-команда, загружающая скрипт под названием adminc.ps1. Этот скрипт устанавливал утилиту NetCat — инструмент для передачи сетевых данных, позволяющий злоумышленникам получить удалённый доступ и управлять системой с командно-контрольного сервера (C&C).

Методы распространения вредоносного ПО оказались универсальными и эффективными для различных операционных систем:

  • Для Windows злоумышленники использовали PowerShell-скрипты.
  • Для Linux применялись скрипты на Bash.

Обе платформы использовались для установки XMRig — программного обеспечения для майнинга криптовалюты Monero. Перед запуском выполнялись команды, завершающие процессы конкурирующих майнеров, обеспечивая полный контроль над ресурсами заражённой системы.

Последствия для безопасности и рекомендации

После успешной установки майнеры начинают использовать ресурсы целевой системы для добычи Monero на благо злоумышленников, что приводит к снижению производительности, перегреву оборудования и увеличению затрат на электроэнергию.

Эксперты ASEC подчёркивают важность срочного применения патчей для устранения уязвимости CVE-2024-36401 и рекомендуют организациям:

  • Регулярно проверять и обновлять GeoServer и другие связанные сервисы.
  • Контролировать сетевой трафик на предмет подозрительных подключений к C&C-серверам.
  • Использовать многофакторную аутентификацию и ограничивать доступ к критическим системам.
  • Следить за активностью PowerShell и Bash-скриптов, особенно подозрительных команд загрузки и запуска.

Без должной защиты и внимания последствия подобных инцидентов могут быть весьма серьёзными, особенно для государственных и ключевых инфраструктурных учреждений.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: