Атаките са към Линукс машини.
F5 алармира за активна кампания, доставяща криптокопач чрез експлоатиране на наскоро запушената дупка в Apache Struts.
В края на август, администриращите открития уеб-фреймуърк Apache Struts 2 съобщиха, че са адресирали критична уязвимост в софтуера, за който се грижат. Въпросният проблем може да доведе до неоторизираното изпълнение на зловреден код по отдалечен път и пълния контрол над системата. За да стане положението по-тежко, някой публикува дни след съобщението PoC (proof-of-concept) код, който показва как да бъде експлоатирана въпросната уязвимост, а заедно с това и Python скрипт, който да улесни престъпниците. И атаките не закъсняха. За поредната такава алармират от F5, които са засекли активна кампания към машини на основата на Линукс, при която бива доставян копач на криптовалута. Любопитното в конкретния случай е, че организаторите на въпросната кампания не само доставят криптокопач, но и премахват всякакъв подобен софтуер, ако засекат присъствието на такъв.
Авторите на доклада са кръстили кампанията CroniX, заради използването на Cron от атакуващата страна, с което си осигурява постоянно присъствие, както и Xhide, за да стартира изпълнимите файлове чрез фалшиви имена на процеси. И тук, подобно на други сходни атаки, предпочитаната от престъпниците цифрова валута, която добиват е Monero.
Заедно с това, след като превземе машината, CroniX проверява текущите процеси и прекратява тези от тях, които отнемат 60% и повече от процесорната мощ.
Макар и наблюдаваните мишени на тези атаки да са основно Линукс машини, от F5 са получили доказателство, че подобна операция се провежда и към системи на основата на Windows.
