Эксплойт к Apache Struts 2 устанавливает Cerber

Злоумышленники атакуют уязвимость в Apache Struts на серверах, работающих под Windows, с целью распространения программы-вымогателя Cerber.

В минувший четверг Центр SANS по сетевым угрозам сообщил, что в последний месяц они наблюдают многочисленные попытки эксплойта уязвимости CVE 2017-5638 во фреймворке Apache Struts 2, преданной гласности 6 марта и пропатченной днем позже. В ходе интервью Threatpost автор блог-записи ISC SANS Иоганнес Улльрих (Johannes Ullrich) отметил, что за последние четверо суток на ловушках SANS было зафиксировано 300 запросов на загрузку программы-вымогателя Cerber и 5 тыс. других попыток эксплуатации Struts 2.

«Это значительное количество, однако большинство этих атак на Struts лишь проверяют систему на уязвимость», — комментирует Улльрих. С его слов, 300 попыток эксплойта исходили с китайского IP-адреса 122[.]225[.]98[.]178, и целью этих атак являлась загрузка бинарника Cerber из домена 1and1, принадлежащего германскому веб-хостеру, а конкретнее — с IP 82[.]165[.]129[.]119, который все еще активен. «Их известили о проблеме, но реакции пока не последовало», — сетует Улльрих.

Проведенный в ISC SANS анализ эксплойта показал, что вредоносный скрипт использует BTISAdmin для доставки целевой нагрузки с URL, контролируемого атакующими. Зловред загружается как UnInstall.exe в общую Windows-папку %TEMP%. По состоянию на 6 апреля его детектировали 24 из 61 антивируса на VirusTotal.

Cerber существует на интернет-арене уже больше года; как и большинство собратьев, он распространяется с помощью эксплойт-паков и через спам-рассылки, в том числе с ботнета, некогда использовавшегося для доставки банкера Dridex. Новейшие версии Cerber избегают обнаружения, пряча вредоносный код в инсталляторе NSIS.

Вариант вымогателя, распространяемый посредством эксплойта уязвимости в Apache Struts 2, сохраняет инструкции по уплате выкупа в текстовом файле README. Жертве предлагается скачать браузер Tor и перейти по ссылке, чтобы осуществить платеж в биткойнах. «Вредоносная программа обращается к btc.blockr.io, чтобы получить адрес Bitcoin-кошелька для перевода денег, — сказано в блог-записи ISC SANS. — Зашифрованным файлам присваиваются новые произвольные (закодированные) имена».

Брешь CVE 2017-5638 особенно опасна для веб-серверов Apache, работающих как root, хотя такая практика не рекомендуется и встречается довольно редко. Эксплойт этой уязвимости позволяет удаленно выполнить код и весьма тривиален: атакующему нужно лишь послать на сервер HTTP-запрос с особым значением в заголовке Content-Type.

«К сожалению, из-за особенностей способа инъекции команд в данном случае его очень легко модифицировать, — отметил руководитель Cisco Talos Крейг Уильямс (Craig Williams) в марте, комментируя уязвимость для Threatpost. — Поэтому, полагаю, в обозримом будущем следует ожидать учащение попыток эксплойта».

По словам эксперта, успешный эксплойт открывает злоумышленнику возможность для расширения присутствия в сети, а если он получит, например, доступ к контроллеру домена, вредоносное ПО можно будет установить на все компьютеры организации. «Возможным вариантам нет числа», — заявил Уильямс.