自12月初以来,一个新发现的基于Golang的自传播恶意软件一直在Windows和Linux服务器上主动运行XMRig加密货币挖矿机程序。Intezer的安全研究员Avigayil Mechtinger透露,这种多平台恶意软件还具有蠕虫功能,可以通过使用弱密码强行使用面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)传播到其他系统。
自蠕虫首次被发现以来,其背后的攻击者一直在通过其命令和控制(C2)服务器主动更新蠕虫的功能,这意味着该蠕虫仍作为恶意软件被积极维护。
C2服务器用于托管bash或PowerShell滴管脚本(取决于目标平台)、基于Golang的二进制蠕虫和XMRig miners,后者用于在受感染的设备上秘密挖掘无法跟踪的Monero加密货币(Monroe Coin)。
该蠕虫通过使用密码喷雾攻击和硬编码凭证列表扫描,并强行通过MySQL、Tomcat和Jenkins服务传播到其他计算机。该蠕虫的旧版本还试图利用CVE-2020-14882 Oracle WebLogic远程代码执行漏洞。一旦它成功入侵其中一台目标服务器,就会部署loader脚本(Linux版为ld.sh,Windows版为ld.ps1),该脚本的有效载荷会同时交付XMRig miner程序和基于Golang的蠕虫二进制代码。
如果恶意软件检测到受感染的系统正在侦听端口52013,它会自动杀死自己。如果不使用此端口,蠕虫将打开自己的网络套接字。
为了抵御这种新的多平台蠕虫发起的暴力攻击,网络管理员应该限制登录条件,在互联网上暴露的所有服务上使用难以猜测的密码,并尽可能使用双因素身份验证。