Ungepatchte Confluence-Server bleiben Angriffsziel

Am 20. März hat Atlassian Patches für zwei schwere Sicherheitslücken in Confluence Server und Confluence Data Center veröffentlicht. Dies hat kurz darauf Hacker auf den Plan gerufen, die versuchen, noch ungepatchte Systeme anzugreifen. Mit verschiedene Exploits versuchen (wahrscheinlich) unterschiedliche Angreifer via diese Sicherheitslücken Malware einzuschleusen. Zuerst war es eine DDoS-Malware, später die GandCrab-Ransomware.
 
Wie 'Bleepingcomputer' berichtet versuchen Angreifer nun, Cryptominer auf betroffenen Systemen zu installieren. Die Angriffssoftware geht dabei in mehreren Stufen vor. Zuerst wird der Server angewiesen, ein Shell-Script von Pastebin herunterzuladen, dann folgt ein zweites und drittes Shell-Script das schliesslich einen "Kerberods" genannten Trojaner herunterlädt. Kerberods holt schlussendlich den Miner "khugepaged" für die Kryptowährung Monero und ein Rootkit auf das System.
 
Das Rootkit enthält diverse Funktionen, um seinerseits weitere Systeme zu infizieren, darunter auch Jenkins Automation Server. Kerberods seinerseits versucht vom Miner geschriebene Files sowie den verursachten Netzwerkverkehr zu verschleiern. Indem zufällig CPU-Belastung erzeugt wird soll zudem auch die eigentliche Mining-Aktivität getarnt werden. (hjm)