17.07.2025
1 хв
480
Хакери знову активізувались: експлуатація вразливостей Apache HTTP Server і Microsoft Exchange дозволяє зловмисникам запускати криптомайнер Linuxsys, вірусну VBS-версію Lcryx-рансомварі, а також отримувати повний контроль над сервером через GhostContainer. Усе це відбувається через давно відомі уразливості, зловживання легітимними сайтами та використання інфраструктури з Індонезії.
Атака базується на вразливості CVE-2021-41773 у Apache HTTP Server 2.4.49 — відомій path traversal, що дозволяє віддалене виконання коду. Через неї хакери доставляють shell-скрипт, який звантажує Linuxsys-майнер із підконтрольного ресурсу repositorylinux[.]org, використовуючи легітимні SSL-захищені сайти як проксі.
Скрипт також встановлює cron.sh для автозапуску майнера. Аналіз вказує на походження з Індонезії — у вихідному коді знайдено коментарі на сунданській мові. Раніше ті ж актори зловживали уразливістю GeoTools (CVE-2024-36401), Atlassian Confluence (CVE-2023-22527), Chamilo LMS, Metabase та Palo Alto firewalls.
Окрім майнінгу, атака запускає інші лінії зараження: shell-скрипти вимикають антивіруси, бази даних і користувацькі сервіси, після чого на систему потрапляє Kinsing RAT і той самий XMRig майнер. Паралельно активується Lcrypt0rx — псевдо-вимагач, який блокує Windows-інструменти, вимикає захист і намагається стерти MBR. Але цікаво, що ключі не зберігаються, а шифрування — базове XOR, тобто це радше scareware, ніж повноцінна ransomware-атака.
Схожі кампанії з використанням заражених легітимних сайтів, curl, wget та багаторівневого завантаження спостерігались і раніше. Цього разу кіберзлочинці пішли далі: вони використовують фальшиві VBS-скрипти, CoinMiner, Kinsing, інфостілари (Lumma, RustyStealer), навіть DCRat, інжектор і Cobalt Strike. Це свідчить про масштабування готових схем і злиття кількох шкідливих ланцюгів в одну багатофункціональну інфраструктуру.
У паралельній кампанії фіксуються атаки на Microsoft Exchange через CVE-2020-0688 — тут використовується GhostContainer: backdoor, який працює без C2 і ховає команди в нормальних веб-запитах Exchange. З його допомогою хакери можуть виконувати shell-код, завантажувати/видаляти файли, проксувати трафік і отримувати повний контроль над урядовими серверами в Азії.
Ці кампанії — ще один доказ комодифікації кіберзлочинності. Зловмисники використовують старі, але ефективні уразливості, AI-згенерований код, використання легітимної інфраструктури, одночасну доставку кількох ланцюгів зараження. У результаті — підвищені витрати на хмарні ресурси, погіршення продуктивності, ризики витоку даних. І все це тепер доступно навіть для атакуючих без глибоких технічних знань.
