一种新发现的基于Golang的自我传播恶意软件自12月初XMRig加密货币矿工程序以来一直在Windows和Linux服务器上积极运行。Intezer安全研究员AvigayilMechtinger透露,该多平台恶意软件还具有蠕虫功能,可以通过使用弱密码暴力破解面向公众的服务(即MySQL、Tomcat、Jenkins和WebLogic)来传播到其他系统。自蠕虫病毒首次被发现以来,该蠕虫病毒背后的攻击者一直在通过他们的命令和控制(C2)服务器积极更新该蠕虫病毒的功能,这表明该蠕虫病毒仍然是一种积极维护的恶意软件。C2服务器用于托管bash或PowerShelldropper脚本(取决于目标平台)、基于Golang的二进制蠕虫和部署的XMRig矿工,以在受感染的设备上秘密挖掘无法追踪的Monero加密货币(Monero)。该蠕虫通过使用密码喷射攻击和硬编码凭据列表扫描并强制通过MySQL、Tomcat和Jenkins服务来传播到其他计算机。旧版本的蠕虫还试图利用CVE-2020-14882OracleWebLogic远程代码执行漏洞。一旦它成功地破坏了其中一个目标服务器,它就会部署一个加载器脚本(Linux的ld.sh和Windows的ld.ps1),其有效负载同时释放XMRig矿工和基于Golang的蠕虫二进制文件。如果恶意软件检测到受感染的系统正在侦听端口52013,它会自动杀死自己。如果端口未被使用,蠕虫将打开自己的网络套接字。为抵御这种新型多平台蠕虫的强力攻击,网络管理员应限制登录要求并在所有暴露于Internet的服务上使用难以猜测的密码,并在可能的情况下使用双因素身份验证。
