В течение одного месяца по крайней мере десять хакерских группировок взламывали системы с web-приложениями, созданными с помощью фреймворка Apache Struts. Злоумышленники устанавливали бэкдоры, ботов для DDoS-атак, ПО для майнинга криптовалюты и программы-вымогатели в зависимости от атакуемой ОС (Windows или дистрибутивов Linux).

В ходе атак киберпреступники эксплуатировали уязвимость нулевого дня в Apache Struts, раскрытую и исправленную в прошлом месяце. Уязвимость CVE-2017-5638 позволяет выполнять команды на сервере путем загрузки контента в используемый в некоторых приложениях Struts компонент Jakarta Multipart.
Как сообщают эксперты компании F5, атаки начались сразу же после раскрытия уязвимости исследователями Cisco Talos и публикации ряда PoC-эксплоитов. С начала марта текущего года атаки с эксплуатацией уязвимости постепенно эволюционировали. Вначале хакеры атаковали реализации Struts только на Linux-серверах, где затем устанавливали вредоносное ПО для осуществления DDoS-атак PowerBot (также известно как PerlBot и Shellbot). Позднее некоторые группировки стали устанавливать майнер «minerd» для генерирования криптовалюты Monero. Также были зафиксированы атаки с использованием бэкдора Perl.
По данным экспертов технологического института SANS, после 20 марта одна из группировок начала атаковать реализации Struts на Windows-серверах. Используя слегка модифицированный эксплоит, злоумышленники выполняли различные shell-команды для запуска утилиты BITSAdmin, а затем через FTP загружали вымогательское ПО Cerber. Программа шифровала хранящиеся на системе файлы и отображала уведомление с требованием выкупа за их восстановление.
По словам исследователей, для нескольких кампаний злоумышленники использовали один и тот же биткойн-кошелек. На их счету числится 84 биткойна (около $100 тыс.). Ежедневно кошелек пополняется в среднем на 2,2 биткойна (около $2,6 тыс.).

Источник: securitylab.ru