【安全资讯】跨平台蠕虫HolesWarm利用20余种漏洞武器攻击Windows、Linux系统

匿名用户 2021-07-14 05:01:48 2276人浏览

研究人员捕获了一款名为HolesWarm的跨平台蠕虫病毒,该蠕虫病毒近期扩散十分迅速,所利用的漏洞武器在短短一个月的时间里就超过20种。自6月上旬以来,HolesWarm已造成多次入侵高峰,累计攻陷云主机过千台。被攻陷的系统除被控制挖矿,还可能被窃取帐号密码信息,甚至被控制服务器。经分析,HolesWarm病毒会利用国内使用率较高的网络组件高危漏洞攻击传播,包括国内常用的用友、致远等办公组件,以及Tomcat、Weblogic、Shiro、Struct 52、XXL-JOB、Spring boot、Jenkins等20余个网络组件,攻击者接受云控服务器指令不断更新攻击模块和攻击目标。


由于HolesWarm病毒在较短时间内,已变换了20多种攻击手法,失陷云主机数量整体仍呈上升态势,跨平台蠕虫HolesWarm感染趋势如下:


HolesWarm病毒会同时攻击Windows、Linux平台主机,最终控制失陷系统进行门罗币挖矿牟利。HolesWarm病毒会在二进制文件末尾添加时间,使恶意文件的MD5不新变化,从而对抗针对文件MD5的安全检测。


针对Windows平台,恶意程序模块注入系统应用以隐藏进程,针对Linux平台进行系统so预加载库劫持,目的是保护隐藏恶意进程,使恶意文件不被运维人员发现。


HolesWarm病毒会对已入侵的Windows主机LSASS进程dump后上传分析,其目的是窃取失陷系统的用户名密码等关键数据。同时尝试对已入侵的Linux主机使用历史ssh连接以实现远程控制。

失陷指标(IOC)12
漏洞利用 蠕虫 HolesWarm 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。