Новият HolesWarm ботнет е насочен към Windows и Linux сървъри – 09.09.2021

Новият HolesWarm ботнет, наречен „краля на експлоатация на уязвимости“, използва повече от 20 известни уязвимости, за да проникне в сървърите на Windows и Linux и след това да внедри зловреден софтуер за копаене на криптовалути.

Първо атаките са били забелязани в Китай, но след доклади от фирмата за сигурност Tencent и различни ИТ блогъри, се очаква ботнетът да разшири обхвата си и да се насочи към системи в целия свят.

Основно управляван от сървър за командване и управление (C&C), разположен на m[.]Windowsupdatesupport[.]Org, ботнетът използва уязвимости в:

• Docker

• Jenkins

• Apache Tomcat

• Apache Struts (multiple bugs)

• Apache Shiro

• Apache Hadoop Yarn

• Oracle WebLogic (CVE-2020-14882)

• Spring Boot

• Zhiyuan OA (multiple bugs)

• UFIDA

• Panwei OA

• Yonyou GRP-U8

Tencent Security споделят, че след като зловредният софтуер се установи в заразената система, HolesWarm краде локалните пароли, разпространява се до други компютри в мрежата и след това внедрява XMRig-базиран инструмент за добив на криптовалута.

Ботнетът е най-новият в поредицата ботнети за копаене на криптовалути, които редовно се появяват онлайн. При него липсва техническа изтънченост, а HolesWarm операторите са най-новите кодиращи програми за злонамерен софтуер, които се възползват от големия брой сървъри, работещи с остарял софтуер.

Фирмата за сигурност Intezer Labs е наблюдавала по-ранните атаки на ботнета, които е  отбелязала в докладите си в Twitter.

CERT Bulgaria препоръчва:

– Да актуализирате до последна версия използваните от Вас софтуер и операционни системи, в случай, че не са актуализирани; 

– Да сканирате компютрите си редовно. В случай на заразяване или при съмнение за зараза на компютър, незабавно го изключете от локалната мрежа, тъй като може да прави опити за заразяване на други компютри

– Да архивирате данните си редовно на сървър или външен диск, който не трябва да остане свързан с компютъра, за да се избегне неговото заразяване. При необходимост това ще ви помогне да възстановите всички данни. 

– Да спазвате политиките за управление на паролите – на какъв период се сменят, каква е сложността им, кога последно са променяни паролите на акаунти с най-високи права „administrator” и „root”, как и къде се съхраняват. Паролите трябва да се променят периодично, но най-малко веднъж на 6 месеца. 

More information:

https://therecord.media/new-holeswarm-botnet-targets-windows-and-linux-servers/?utm_campaign=cyber-daily&utm_medium=email&_hsmi=150185251&utm_content=150185251&utm_source=hs_email

https://twitter.com/IntezerLabs/status/1402235490225565699?ref_src=twsrc%5Etfw%7Ctwcamp%5Etweetembed%7Ctwterm%5E1402235490225565699%7Ctwgr%5E%7Ctwcon%5Es1_&ref_url=https%3A%2F%2Ftherecord.media%2Fnew-holeswarm-botnet-targets-windows-and-linux-servers%2F