【安全资讯】z0Miner挖矿木马利用新的Confluence漏洞下发恶意文件

猎影实验室 2021-09-26 06:45:59 958人浏览

引言

z0Miner是一种挖矿木马,因利用了各种不同的RCE漏洞而受到关注,如Oracle的WebLogic服务器RCE漏洞(CVE-2020-14882)、ElasticSearch RCE漏洞(CVE-2015-1427)。研究人员近日发现,z0Miner挖矿木马正在利用CVE-2021-26084漏洞部署 web shell 来下载恶意文件,该漏洞为Confluence8月份披露的远程代码执行(RCE)漏洞,CVSS 严重性评分为9.8

 

简况

z0Miner 的感染链如下图:

一旦成功利用Confluence漏洞,z0Miner就会部署web shell下载恶意文件。z0Miner挖矿木马使用多种持久性和规避检测的机制,其中之一是安装文件vmicvguestvs.dll,伪装成一种合法的集成服务,名为“Hyper-V Guest integration”。欺诈性“Hyper-V Guest integration”服务的创建如下所示:

下载的一个脚本还将创建一个名为.NET Framework NGEN v4.0.30319 32的计划任务,该任务伪装成.NET Framework NGEN任务,每五分钟从Pastebin下载并执行一个脚本。z0Miner木马将从下载的文件ok.bat中包含的url中收集它自己的挖掘工具,还会下载一个名为clean.bat的脚本,旨在查找和删除来自其他攻击者的挖矿有效载荷。

 

建议

安全公司已经发布了一个补丁来解决 Confluence 漏洞,但研究人员建议用户采取进一步措施来最大程度地减少受z0Miner等恶意软件攻击的可能性。研究人员建议用户使用最新补丁,定期更新系统和应用程序,确保这些安全漏洞不会被恶意活动滥用。

失陷指标(IOC)18
CVE-2021-26084 z0Miner 挖矿 漏洞利用 其他
    0条评论
    0
    0
    分享
    安全星图平台专注于威胁情报的收集、处理、分析、应用,定期提供高质量的威胁情报。