Los hackers explotan la falla del servidor Apache HTTP para implementar el minero de criptomonedas de Linuxsys

17 de julio de 2025Ravie LakshmananCriptomonedas / vulnerabilidad

Los investigadores de seguridad cibernética han descubierto una nueva campaña que explota una falla de seguridad conocida que impacta el servidor apache http para entregar un minero de criptomonedas llamado Linuxsys.

La vulnerabilidad en cuestión es CVE-2021-41773 (Puntuación CVSS: 7.5), una alta severidad Vulnerabilidad de recorrido de ruta en Apache HTTP Server Versión 2.4.49 que podría dar lugar a la ejecución del código remoto.

«El atacante aprovecha los sitios web legítimos comprometidos para distribuir malware, permitiendo la entrega sigilosa y la evasión de la detección», Vulncheck dicho En un informe compartido con The Hacker News.

La secuencia de infección, observada a principios de este mes y que se origina en una dirección IP indonesia 103.193.177[.]152está diseñado para soltar una carga útil de la próxima etapa de «RepositoryLinux[.]org «usando curl o wget.

La carga útil es un script de shell responsable de descargar el minero de criptomonedas de Linuxsys de cinco sitios web legítimos diferentes, lo que sugiere que los actores de amenaza detrás de la campaña han logrado comprometer la infraestructura de terceros para facilitar la distribución del malware.

«Este enfoque es inteligente porque las víctimas se conectan a hosts legítimos con certificados SSL válidos, lo que hace que la detección sea menos probable», señaló Vulncheck. «Además, proporciona una capa de separación para el sitio de descarga (‘RepositoryLinux[.]org ‘) ya que el malware en sí no está alojado allí «.

Los sitios también alojan otro script de shell llamado «cron.sh» que asegura que el minero se inicie automáticamente en un reinicio del sistema. La firma de ciberseguridad dijo que también identificó dos ejecutables de Windows en los sitios pirateados, lo que plantea la posibilidad de que los atacantes también persigan el sistema operativo de escritorio de Microsoft.

Vale la pena señalar que los ataques que distribuyen el minero de Linuxsys han explotado Un defecto de seguridad crítico en Osgeo Geoserver Geotools (CVE-2024-36401, puntaje CVSS: 9.8), según lo documentado por Fortinet Fortiguard Labs en septiembre de 2024.

Curiosamente, el script de shell disminuyó después de la explotación de la falla se descargó de «RepositoryLinux[.]com, «con comentarios en el código fuente escrito en Sundanese, un idioma indonesio. El mismo script de shell ha sido detectado en la naturaleza ya en diciembre de 2021.

Algunas de las otras vulnerabilidades explotadas para entregar el minero en los últimos años incluyen –

• CVE-2023-22527una vulnerabilidad de inyección de plantilla en Atlassian Confluence Data Center y Confluence Server
• CVE-2023-34960una vulnerabilidad de inyección de comandos en Chamilo Learning Management Systems (LMS)
• CVE-2023-38646una vulnerabilidad de inyección de comando en Metabase
• CVE-2024-0012 y CVE-2024-9474son vulnerabilidades de escalada de autenticación y privilegios en los firewalls de las redes de Palo Alto

«Todo esto indica que el atacante ha estado llevando a cabo una campaña a largo plazo, empleando técnicas consistentes como la explotación de N-Day, el contenido de organización en hosts comprometidos y minería de monedas en máquinas víctimas», dijo Vulncheck.

«Parte de su éxito proviene de una orientación cuidadosa. Parecen evitar los honeypots de baja interacción y requieren una alta interacción para observar su actividad. Combinado con el uso de hosts comprometidos para la distribución de malware, este enfoque ha ayudado en gran medida al atacante a evitar el escrutinio».

Servidores de intercambio dirigidos por GhostContainer Backdoor

El desarrollo se produce cuando Kaspersky revelado Detalles de una campaña que se dirige a entidades gubernamentales en Asia, probablemente con una falla de seguridad de N-Day en Microsoft Exchange Server, para implementar una puerta trasera a medida denominada Ghostcontainer. Se sospecha que los ataques pueden haber explotado un error de ejecución de código remoto ahora parchado en Exchange Server (CVE-2020-0688Puntaje CVSS: 8.8).

La «puerta trasera sofisticada y multifuncional» puede «extenderse dinámicamente con la funcionalidad arbitraria a través de la descarga de módulos adicionales», dijo la compañía rusa, y agregó «la puerta trasera otorga a los atacantes el control total sobre el servidor de Exchange, lo que les permite ejecutar un rango de actividades maliciosas».

El malware está equipado para analizar las instrucciones que pueden ejecutar shellcode, descargar archivos, leer o eliminar archivos, ejecutar comandos arbitrarios y cargar código .NET BYTE adicional. También incorpora un proxy web y un módulo de túnel.

Se sospecha que la actividad puede haber sido parte de una campaña avanzada de amenaza persistente (APT) dirigida a organizaciones de alto valor, incluidas las empresas de alta tecnología, en Asia.

No se sabe mucho sobre quién está detrás de los ataques, aunque se evalúa que son altamente calificados debido a su comprensión profunda del servidor de Microsoft Exchange y su capacidad para transformar el código disponible en público en herramientas de espionaje avanzadas.

«La puerta trasera de GhostContainer no establece una conexión con ninguna [command-and-control] Infraestructura «, dijo Kaspersky.» En cambio, el atacante se conecta al servidor comprometido desde el exterior, y sus comandos de control están ocultos dentro de las solicitudes web de Exchange Normal «.