HolesWarm Tencent ботнет
Операторы нового ботнета в ходе атак эксплуатируют более 20 уязвимостей в различном ПО.
Операторы нового ботнета под названием HolesWarm эксплуатируют более 20 уязвимостей для взлома Windows- и Linux-серверов с целью последующей установки вредоносного ПО для майнинга криптовалюты.
Согласно отчету ИБ-специалистов из компании Tencent, атаки в основном были зафиксированы по всему Китаю, но в ближайшие месяцы преступники предположительно начнут взламывать системы по всему миру.
Операторы ботнета эксплуатируют уязвимости в таком программном обеспечении, как Docker, Jenkins, Apache Tomcat, Apache Struts, Apache Shiro, Apache Hadoop Yarn, Oracle WebLogic ( CVE-2020-14882 ), Spring Boot, Zhiyuan OA, UFIDA, Panwei OA и Yonyou GRP-U8.
Хотя векторы атаки могут различаться в зависимости от жертвы, как только вредоносная программа закрепляется на зараженной системе, HolesWarm сбрасывает локальные пароли, распространяется в локальную сеть, а затем развертывает криптомайнер XMRig.
В то время как другие операторы ботнетов пытаются скрыть свое присутствие на зараженных системах, операторы HolesWarm, похоже, не прибегают к таким методам и часто перегружают процессоры серверов, что приводит к их обнаружению.
SECURITYLAB.RU