Зафиксированы атаки для майнинга криптовалюты на уязвимых серверах Samba

Исследователи лаборатории Касперского зафиксировали активность злоумышленников, связанную с попытками захвата управления над Linux-серверами, на которых не устранена критическая уязвимость (CVE-2017-7494) в Samba, позволяющая выполнить код на сервере. В отличие от похожих целевых атак на Windows-системы с уязвимостью в стеке SMB, атака на Linux-системы сводится к установке не шифровальщика-вымогателя, а ПО для майнинга криптовалют (Trojan-Downloader.Linux.EternalMiner). При успешной атаки на сервере также устанавливается бэкдор для организации удаленного входа (Backdoor.Linux.Agent).

Так как уязвимость в Samba требует для своей эксплуатации возможности записи в раздел. Как правило разделы Samba экспортируются только для локальной сети, а наличие разделов Samba с доступом на запись, которые можно примонтировать из внешней сети без авторизации, само по себе уже является уязвимостью и встречается чрезвычайно редко. Отмеченная исследователями атака в основном актуальна как второй этап распространения влияния злоумышленников после первичного взлома клиентских систем в корпоративных локальных сетях. Например, первый этап взлома может осуществляться с использованием методов социальной инженерии через отправку троянского ПО сотрудникам по электронной почте. После запуска троянского ПО, осуществляется сканирование доступных в локальной сети серверных систем и поражения тех, что содержат неисправленных уязвимости.

Масштаб атаки пока не известен, удалось узнать только характеристики кошелька, на которые поступают полученные в результате майнинга средства. За месяц на кошелек поступило 98 XMR (около 5.5 тысяч долларов).