Botnet HolesWarm nhắm mục tiêu đến các máy chủ Windows và Linux

Một botnet mới có tên HolesWarm đã âm thầm phát triển từ tháng 6 năm nay, khai thác hơn 20 lỗ hổng bảo mật để đột nhập vào các máy chủ Windows và Linux, sau đó triển khai phần mềm độc hại để khai thác tiền điện tử.

Mặc dù các cuộc tấn công chủ yếu được phát hiện trên khắp Trung Quốc, với các báo cáo từ công ty bảo mật Tencent và các blogger công nghệ khác nhau, mạng botnet dự kiến sẽ mở rộng phạm vi tiếp cận và nhắm mục tiêu vào các hệ thống trên toàn cầu trong những tháng tới.

Botnet này được vận hành chủ yếu từ một máy chủ chỉ huy đặt tại địa chỉ m [.]Windowsupdatesupport[.]org, mạng botnet chuyên khai thác các lỗ hổng trong phần mềm của máy chủ như:

Docker
Jenkins
Apache Tomcat
Apache Struts (multiple bugs)
Apache Shiro
Apache Hadoop Yarn
Oracle WebLogic (CVE-2020-14882)
Spring Boot
Zhiyuan OA (multiple bugs)
UFIDA
Panwei OA
Yonyou GRP-U8

Tùy vào mỗi trường hợp mà botnet này sẽ thực hiện tấn công với các hình thức khác nhau. Hãng Tencent cho biết một khi botnet độc hại tấn công thành công vào thiết bị nào đó, HolesWarm sẽ tìm cách mở rộng tấn công sang các thiết bị khác cùng mạng nội bộ, và sau đó triển khai công cụ đào tiền điện tử XMRig.

Trong khi các mã độc khác cố gắng che giấu sự hiện diện nó trên các máy chủ bị nhiễm, bằng cách chạy ẩn và sử dụng ít tài nguyên CPU, HolesWarm dường như không sử dụng cơ chế an toàn này, mạng botnet này thường sử dụng tối đa CPU máy chủ, dẫn đến việc rất dễ dàng phát hiện nó bởi máy chủ sẽ thường xuyên quá tải.

HolesWarm là mạng một trong rất nhiều botnet chuyên đào tiền điện tử hiện nay. Chúng thường khai thác các lỗi bảo mật của các phần mềm máy chủ. Thông thường các lỗ hổng bảo mật này xuất hiện do các phần mềm đã lỗi thời, chậm cập nhật phiên bản. Thường xuyên nâng cấp phần mềm, hệ điều hành để giúp máy chủ của bạn an toàn trước nguy cơ nhiều cuộc tấn công mạng hiện nay.

Tham khảo: Therecord

Chia sẻ bài viết này