互联网上暴露的 Selenium Grid 实例正成为不良行为者非法加密货币挖矿和代理劫持活动的目标。 “Selenium Grid 是一个服务器,有助于跨不同浏览器和版本并行运行测试用例,”Cado Security 研究人员 Tara Gould 和 Nate Bill 在今天发表的分析中说。 “但是,Selenium Grid 的默认配置缺乏身份验证,使其容易受到威胁行为者的利用。” 云安全公司 Wiz 此前曾在 2024 年 7 月下旬强调滥用可公开访问的 Selenium Grid 实例来部署加密矿工,作为名为 SeleniumGreed 的活动集群的一部分。 Cado 观察到针对其蜜罐服务器的两种不同的活动,并表示威胁行为者正在利用缺乏身份验证保护来执行恶意操作。 第一个版本利用“goog:chromeOptions”字典注入一个 Base64 编码的 Python 脚本,该脚本反过来检索一个名为“y”的脚本,该脚本是开源的 GSocket 反向 shell。 反向 shell 随后用作引入下一阶段有效负载的媒介,一个名为“pl”的 bash 脚本,该脚本通过 curl 和 wget 命令从远程服务器检索 IPRoyal Pawn 和 EarnFM。 “IPRoyal Pawns 是一种住宅代理服务,允许用户出售他们的互联网带宽以换取金钱,”Cado 说。 “用户的互联网连接与 IPRoyal 网络共享,该服务使用带宽作为住宅代理,使其可用于各种目的,包括恶意目的。” EarnFM 也是一种代理软件解决方案,被宣传为一种“开创性”的方式,可以“通过简单地共享您的互联网连接在线产生被动收入”。 第二种攻击,与代理劫持活动一样,遵循相同的路线,通过 Python 脚本传递 bash 脚本,该脚本检查它是否在 64 位计算机上运行,然后继续丢弃基于 Golang 的 ELF 二进制文件。 ELF 文件随后尝试利用 PwnKit 漏洞 (CVE-2021-4043) 升级到根,并丢弃名为 perfcc 的 XMRig 加密货币挖矿程序。 “由于许多组织依赖 Selenium Grid 进行 Web 浏览器测试,因此该活动进一步凸显了配置错误的实例如何被威胁行为者滥用,”研究人员说。“用户应确保已配置身份验证,因为默认情况下未启用它。”
|