Jahrelanger Linux-Kryptominer nutzte legitime Websites zur Verbreitung von Malware

Eine aktuelle Untersuchung von VulnCheck deckte eine jahrelang unbemerkt laufende Kryptomining-Kampagne auf. Der dahinterstehende Angreifer, der den Linuxsys-Miner nutzt, zielt seit mindestens 2021 auf anfällige Systeme ab und verfolgt dabei eine konsistente Strategie, die sich stark auf kompromittierte legitime Websites zur Verbreitung von Malware stützt.

Was die Erkennung dieser Kampagne erschwert, ist die Nutzung realer Websites als Malware-Verbreitungskanäle. Anstatt Payloads auf verdächtigen Domains zu hosten, kompromittieren sie Drittanbieter-Websites mit gültigen SSL-Zertifikaten und platzieren dort ihre Download-Links. Dadurch umgehen sie nicht nur viele Sicherheitsfilter, sondern halten auch ihre Kerninfrastruktur (wie die Download-Site repositorylinux.org ) von den eigentlichen Malware-Dateien fern.

Zwischen dem 1. und 16. Juli dieses Jahres entdeckten VulnCheck-Analysten wiederholte Exploit-Versuche von der IP-Adresse 103.193.177.152 gegen eine Canary-Instanz von Apache 2.4.49. Diese Versuche standen im Zusammenhang mit der Sicherheitslücke CVE-2021-41773 . Obwohl diese Sicherheitslücke nicht neu ist und weiterhin ein beliebtes Ziel darstellt, fiel die Entität, die sie ausnutzte, auf.

Die Angreifer verwendeten ein einfaches Skript namens linux.sh , das sowohl die Konfigurationsdatei als auch die Linuxsys-Binärdatei von einer Liste mit fünf kompromittierten Websites herunterlädt. Dazu gehören Domänen wie prepstarcenter.com , wisecode.it und dodoma.shop , die ansonsten alle unauffällig aussehen.

Laut einem Blogbeitrag von VulnCheck, der Hackread.com vor der Veröffentlichung am Mittwoch zur Verfügung gestellt wurde, war die Liste nicht zufällig. Dies gab dem Angreifer Ausweichmöglichkeiten, falls eine Website ausfiel oder nicht mehr funktionierte, sodass die Malware weiterhin ohne Unterbrechung verbreitet werden konnte.

Die von diesen Sites abgerufene Miner-Konfigurationsdatei verweist auf hashvault.pro als Mining-Pool und identifiziert die mit der Operation verbundene Wallet. Diese Wallet erhält seit Januar 2025 kleine Auszahlungen, durchschnittlich etwa 0,024 XMR pro Tag, also etwa 8 US-Dollar.

Obwohl 8 Dollar unbedeutend klingen, geht es bei der Operation nicht unbedingt um hohe Einnahmen. Die Beständigkeit und Dauer deuten auf andere Ziele oder möglicherweise auf weitere Bergbauaktivitäten an anderer Stelle hin, die bisher nicht beobachtet wurden.

Die Ursache für Linuxsys wurde 2021 erstmals in einemBlogbeitrag von Hal Pomeranz, einem hoch angesehenen Experten für digitale Forensik unter Linux und Unix, beschrieben. Pomeranz analysierte die Ausnutzung derselben CVE. Seitdem wurde die Schwachstelle in Berichten mehrerer Cybersicherheitsfirmen mit zahlreichen Schwachstellen in Verbindung gebracht. Dazu gehören aktuelle CVEs wie 2023-22527 , 2023-34960 und 2024-36401 .

Alle diese Sicherheitslücken wurden mithilfe einer N-Tage- Schwachstellenausnutzung, Content-Staging auf kompromittierter Webinfrastruktur und persistentem Mining ausgenutzt. Eine N-Tage-Schwachstelle ist ein bereits bekannter Sicherheitsfehler, für den in der Regel ein Fix verfügbar ist. Der Name bedeutet lediglich, dass der Fehler seit einer bestimmten Anzahl von Tagen öffentlich bekannt ist, wobei „n“ die Anzahl der Tage seit der ersten Veröffentlichung oder Behebung des Problems angibt.

Es gibt auch Hinweise darauf, dass die Operation nicht auf Linux beschränkt ist. Zwei ausführbare Windows-Dateien, nssm.exe und winsys.exe , wurden auf denselben kompromittierten Hosts gefunden. Obwohl VulnCheck diese nicht in Aktion beobachtet hat, deutet ihr Vorhandensein auf ein breiteres Spektrum als nur Linux-Systeme hin.

Der Grund für die geringe Sichtbarkeit dieser Kampagne liegt vermutlich in einer Kombination aus sorgfältiger Zielausrichtung und der bewussten Vermeidung von Honeypots . VulnCheck weist darauf hin, dass der Angreifer offenbar Umgebungen mit hoher Interaktion bevorzugt, was bedeutet, dass typische Köderserver diese Aktivität oft völlig übersehen. Dieser vorsichtige Ansatz hat wahrscheinlich dazu beigetragen, dass die Kampagne trotz jahrelanger Aktivität nicht zu viel Aufmerksamkeit erregte.

VulnCheck hat Suricata- und Snort-Regeln veröffentlicht, die Exploit-Versuche für alle bekannten zugehörigen CVEs erkennen. Zu den Indikatoren für eine Kompromittierung zählen IP-Adressen, URLs und Datei-Hashes im Zusammenhang mit dem Angriff. Darüber hinaus wurden Erkennungsregeln bereitgestellt, mit denen Sicherheitsteams DNS-Abfragen und HTTP-Verkehr im Zusammenhang mit dem Downloader und den anfänglichen Payload-Skripten identifizieren können.