不法分子正在利用2018年披露的漏洞（CVE-2018-）来使用提供加密货币挖矿软件进行挖矿活动。

SANS专家 发现了一个正在针对 安装的恶意攻击活动，以传播一个名为的门罗币挖矿恶意软件。

根据SANS研究所的互联网风暴中心称，攻击者正在利用服务器使用的 HTTP请求处理引擎中存在的CVE-2018-漏洞。

是最受欢迎的开源自动化服务器，它由和社区维护。自动化服务器支持开发人员构建黑客攻击软件，测试和部署他们的应用程序，它在全球拥有数十万个活跃安装，拥有超过100万用户。

开发团队在2018年12月解决了这个漏洞，该团队发出以下潜在威胁发出了警告：

安全研究人员公开披露了该漏洞的技术细节。该漏洞可以与发布的其他链接中的漏洞结合，以获取远程代码执行。

根据SANS的 的说法，CVE-2018-的漏洞验证程序（PoC）于3月初发布。

注意到他的一个蜜罐受到了一些攻击，试图利用的这个漏洞来传递挖矿软件。

“在分析了我的一个蜜罐受到的攻击之后，我创建了下图所示的图表。按照蓝色数字理解步骤。“

漏洞攻击

恶意软件包含自定义版本的UPX打包程序，它尝试获取root权限来隐藏它的存在并获得持久性。

“在分析二进制文件后，我发现使用的打包器是‘UPX’的定制版本。UPX是一个开源软件，有许多方法可以修改UPX，使其难以使用常规的UPX版本解压文件。“继续分析。“幸运的是黑客攻击软件，在这种情况下，UPX自定义只涉及将maigc常量从‘UPX’修改为其他三个字母。因此，在二进制文件的不同部分将其还原为UPX，可以使用常规版本的UPX解压缩二进制文件。“

获得root权限后，会将一个库加载到操作系统中，该操作系统将连接Glibc的不同功能，就像一个。

在没有root权限的情况下，恶意软件创建了一个cron定时任务以确保持久性。

在受感染的系统上下载并执行加密货币挖矿软件，它还使用本地SSH密钥进行横向移动。该恶意软件还会在互联网上搜索其他易受攻击的服务器。