Недавно был обнаружен червь Gitpaste-12, который распространяется через GitHub, а также содержит вредоносные данные на Pastebin
Теперь — он еще с большим количеством эксплойтов.
Первая версия Gitpaste-12 поставлялась с реверс-шеллом, возможностями крипто-майнинга и использовала более 12 известных уязвимостей, отсюда и название.
Эта новая версия Gitpaste-12 содержит более 30 эксплойтов уязвимостей, касающихся систем Linux, устройств IoT и компонентов с открытым исходным кодом.
Первоначально исследователи наблюдали за новым репозиторием GitHub, содержащим всего 3 файла.
«Волна атак использовала пейлоады из еще одного репозитория GitHub, который содержал криптомайнер Linux (‘ls’), список паролей для попыток перебора (‘pass’) и статически связанный интерпретатор Python 3.9 неизвестного происхождения», объясняет исследователь из Juniper Threat Labs.
Позже еще два файла были добавлены в репозиторий авторами Gitpaste-12.
К ним относятся конфигурационный файл («config.json») для майнера криптовалюты Monero и эксплоит повышения привилегий Linux в пакете UPX .
Адрес Monero, содержащийся в файле config.json:
41qALJpqLhUNCHZTMSMQyf4LQotae9MZnb4u53JzqvHEWyc2i8PEFUCZ4TGL9AGU34ihPU8QGbRzc4FB2nHMsVeMHaYkxus
На иллюстрации, показанной ниже, первоначальное заражение начинается с загрузки образца Gitpaste-12 пейлоада с GitHub и криптомайнера вместе с бэкдором на зараженный хост.
Червь далее распространяется для атаки веб-приложений, подключений Android Debug Bridge и устройств IoT, включая IP-камеры и маршрутизаторы.
Содержит 31 эксплойт уязвимостей: 24 уникальных.
В новой версии Gitpaste-12 есть эксплойты для «по крайней мере 31 известной уязвимости, семь из которых также были замечены в предыдущем образце Gitpaste-12, а также попытки взломать открытые соединения Android Debug Bridge и существующие бэкдоры вредоносных программ», — объясняет Лэнгтон. .
В список эксплойтов, предоставленный исследователями, входят:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-1871
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3313
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-8361
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17215
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-17562
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2018-11511
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-10758
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-11447
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19509
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-5902
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8816
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-10987
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17463
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-17496
https://www.exploit-db.com/exploits/37474
https://www.exploit-db.com/exploits/40500
https://www.exploit-db.com/exploits/45135
https://www.exploit-db.com/exploits/45161
https://www.exploit-db.com/exploits/46542
https://www.exploit-db.com/exploits/48225
https://www.exploit-db.com/exploits/48358
https://www.exploit-db.com/exploits/48676
https://www.exploit-db.com/exploits/48734
https://www.exploit-db.com/exploits/48737
https://www.exploit-db.com/exploits/48743
https://www.exploit-db.com/exploits/48751
https://www.exploit-db.com/exploits/48758
https://www.exploit-db.com/exploits/48771
https://www.exploit-db.com/exploits/48775
Помимо использования этих уязвимостей, червь X10-unix, входящий в состав Gitpaste-12, атакует приложение Android Debug Bridge (adb), работающее на порту 5555, для загрузки вредоносного собственного двоичного файла (blu) и APK на устройства Android.
APK-файл при установке отправляет IP-адрес устройства в Pastebin, а затем загружает вредоносные данные.
Эта версия Gitpaste-12, по словам исследователей, скомпрометировала как минимум 100 различных хостов.
