Selenium Grid 配置不当引发加密货币挖矿与代理劫持

阅读量65686

发布时间 : 2024-09-13 15:12:16

x
译文声明

本文是翻译文章,文章原作者 Ravie Lakshmanan,文章来源:The Hacker News

原文地址:https://thehackernews.com/2024/09/exposed-selenium-grid-servers-targeted.html

译文仅供参考,具体内容表达以及含义原文为准。

互联网上暴露的 Selenium Grid 实例正成为不良行为者非法加密货币挖矿和代理劫持活动的目标。

“Selenium Grid 是一个服务器,有助于跨不同浏览器和版本并行运行测试用例,”Cado Security 研究人员 Tara Gould 和 Nate Bill 在今天发表的分析中说。

“但是,Selenium Grid 的默认配置缺乏身份验证,使其容易受到威胁行为者的利用。”

云安全公司 Wiz 此前曾在 2024 年 7 月下旬强调滥用可公开访问的 Selenium Grid 实例来部署加密矿工,作为名为 SeleniumGreed 的活动集群的一部分。

Cado 观察到针对其蜜罐服务器的两种不同的活动,并表示威胁行为者正在利用缺乏身份验证保护来执行恶意操作。

第一个版本利用“goog:chromeOptions”字典注入一个 Base64 编码的 Python 脚本,该脚本反过来检索一个名为“y”的脚本,该脚本是开源的 GSocket 反向 shell。加密挖矿和代理劫持

反向 shell 随后用作引入下一阶段有效负载的媒介,一个名为“pl”的 bash 脚本,该脚本通过 curl 和 wget 命令从远程服务器检索 IPRoyal Pawn 和 EarnFM。

“IPRoyal Pawns 是一种住宅代理服务,允许用户出售他们的互联网带宽以换取金钱,”Cado 说。

“用户的互联网连接与 IPRoyal 网络共享,该服务使用带宽作为住宅代理,使其可用于各种目的,包括恶意目的。”

EarnFM 也是一种代理软件解决方案,被宣传为一种“开创性”的方式,可以“通过简单地共享您的互联网连接在线产生被动收入”。

第二种攻击,与代理劫持活动一样,遵循相同的路线,通过 Python 脚本传递 bash 脚本,该脚本检查它是否在 64 位计算机上运行,然后继续丢弃基于 Golang 的 ELF 二进制文件。

ELF 文件随后尝试利用 PwnKit 漏洞 (CVE-2021-4043) 升级到根,并丢弃名为 perfcc 的 XMRig 加密货币挖矿程序。

“由于许多组织依赖 Selenium Grid 进行 Web 浏览器测试,因此该活动进一步凸显了配置错误的实例如何被威胁行为者滥用,”研究人员说。“用户应确保已配置身份验证,因为默认情况下未启用它。”

本文翻译自The Hacker News 原文链接。如若转载请注明出处。
分享到:微信
+10赞
收藏
安全客
分享到:微信

发表评论

内容需知
合作单位
  • 安全客
  • 安全客
Copyright © 北京奇虎科技有限公司 三六零数字安全科技集团有限公司 安全客 All Rights Reserved 京ICP备08010314号-66