Новый ботнет HolesWarm атакует Windows- и Linux-серверы

Операторы нового ботнета под названием HolesWarm эксплуатируют более 20 уязвимостей для взлома Windows- и Linux-серверов с целью последующей установки вредоносного ПО для майнинга криптовалюты.

Согласно отчету ИБ-специалистов из компании Tencent, атаки в основном были зафиксированы по всему Китаю, но в ближайшие месяцы преступники предположительно начнут взламывать системы по всему миру.

Операторы ботнета эксплуатируют уязвимости в таком программном обеспечении, как Docker, Jenkins, Apache Tomcat, Apache Struts, Apache Shiro, Apache Hadoop Yarn, Oracle WebLogic ( CVE-2020-14882 ), Spring Boot, Zhiyuan OA, UFIDA, Panwei OA и Yonyou GRP-U8.

Хотя векторы атаки могут различаться в зависимости от жертвы, как только вредоносная программа закрепляется на зараженной системе, HolesWarm сбрасывает локальные пароли, распространяется в локальную сеть, а затем развертывает криптомайнер XMRig.

В то время как другие операторы ботнетов пытаются скрыть свое присутствие на зараженных системах, операторы HolesWarm, похоже, не прибегают к таким методам и часто перегружают процессоры серверов, что приводит к их обнаружению.