【安全资讯】跨平台蠕虫HolesWarm利用20余种漏洞武器攻击Windows、Linux系统

研究人员捕获了一款名为HolesWarm的跨平台蠕虫病毒，该蠕虫病毒近期扩散十分迅速，所利用的漏洞武器在短短一个月的时间里就超过20种。自6月上旬以来，HolesWarm已造成多次入侵高峰，累计攻陷云主机过千台。被攻陷的系统除被控制挖矿，还可能被窃取帐号密码信息，甚至被控制服务器。经分析，HolesWarm病毒会利用国内使用率较高的网络组件高危漏洞攻击传播，包括国内常用的用友、致远等办公组件，以及Tomcat、Weblogic、Shiro、Struct 52、XXL-JOB、Spring boot、Jenkins等20余个网络组件，攻击者接受云控服务器指令不断更新攻击模块和攻击目标。

由于HolesWarm病毒在较短时间内，已变换了20多种攻击手法，失陷云主机数量整体仍呈上升态势，跨平台蠕虫HolesWarm感染趋势如下：

HolesWarm病毒会同时攻击Windows、Linux平台主机，最终控制失陷系统进行门罗币挖矿牟利。HolesWarm病毒会在二进制文件末尾添加时间，使恶意文件的MD5不新变化，从而对抗针对文件MD5的安全检测。

针对Windows平台，恶意程序模块注入系统应用以隐藏进程，针对Linux平台进行系统so预加载库劫持，目的是保护隐藏恶意进程，使恶意文件不被运维人员发现。

HolesWarm病毒会对已入侵的Windows主机LSASS进程dump后上传分析，其目的是窃取失陷系统的用户名密码等关键数据。同时尝试对已入侵的Linux主机使用历史ssh连接以实现远程控制。