05/09/23
Целью атак стало несанкционированное выполнение кода на скомпрометированных серверах.
Для проникновения используется публично доступная эксплойт-цепочка, включающая уязвимости CVE-2023-28432 (оценка опасности CVSS 7.5) и CVE-2023-28434 (оценка опасности CVSS 8.8). По словам экспертов Security Joes, эти уязвимости позволяют получить доступ к конфиденциальным данным на скомпрометированных серверах и осуществить удалённое выполнение кода там, где запущено приложение MinIO.
В ходе расследования компания обнаружила, что злоумышленники использовали описанные выше уязвимости, чтобы получить права администратора и подменить оригинальный клиент MinIO на заражённую версию. Для этого они воспользовались командой обновления клиента, указав вредоносное зеркало в качестве источника обновления.
Это позволило им скрытно заменить подлинный бинарник MinIO на модифицированный вариант со встроенной бэкдор-функциональностью, получающий команды от злоумышленников напрямую по HTTP-протоколу.
По данным Security Joes, изменённый бинарник является копией публично доступного эксплойта Evil MinIO , опубликованного на GitHub в начале апреля этого года. Однако прямой связи между ними обнаружено не было.
Судя по всему, злоумышленники обладают высокой квалификацией в написании скриптов на bash и Python и используют бэкдор для загрузки дополнительных вредоносных программ.
С помощью специального скрипта они профилируют скомпрометированные хосты и определяют ценность полученного доступа для дальнейшей атаки. Это свидетельствует об их продуманном и стратегическом подходе к проведению своих вредоносных операций.
