Check Point和Certego發布報告指出，近期新型加密貨幣挖礦惡意軟件“RubyMiner”使用多項漏洞利用，在網上搜尋老舊的Web服務器，企圖感染目標。

Ixia的安全研究人員斯蒂芬·塔納斯（Stefan Tanase）向外媒表示，RubyMiner組織使用Web服務器識別工具“p0f”掃描識別運行過時軟件的Linux和Windows服務器。一旦識別出未打補丁的服務器，攻擊者會利用已知的漏洞利用實施入侵，并利用RubyMiner進一步感染目標。

Check Point和Ixia公司稱，它們發現攻擊者在近期這起攻擊活動中部署以下漏洞利用：

Ruby on Rails XML處理器YAML反序列化代碼執行漏洞 (CVE-2013-0156)

PHP php-cgi 查詢字符串參數代碼執行漏洞 (CVE-2012-1823、CVE-2012-2311、CVE-2012-2335、 CVE-2012-2336、 CVE-2013-4878)

微軟IIS ASP 腳本源代碼泄露漏洞(CVE-2005-2678)

顯而易見，RubyMiner的目標是Windows和Linux系統。

Check Point根據其蜜罐收集的數據破解了RubyMiner在Linux系統上的感染程序，從而得出以下結論：

漏洞利用包含一系列Shell命令；

攻擊者清除了所有Cron定時任務；

攻擊者新增每小時要執行的Cron定時任務；

新的Cron定時任務下載在線托管的腳本；

腳本藏在各個域名的robots.txt文件內；

腳本下載并安裝篡改版的XMRig門羅幣挖礦應用。

Check Point的安全研究人員勒特姆·芬克爾斯坦向外媒表示，他們發現攻擊者以Windows IIS服務器為目標，但尚未能獲取這款惡意軟件的Windows版副本。

這起攻擊之所以被發現，部分原因在于攻擊者用來將惡意命令隱藏到robots.txt（lochjol[.]com）的其中一個域名曾在2013年的一起惡意軟件攻擊活動中使用過。后者也使用了RubyMiner部署的Ruby on Rails漏洞利用，這說明這些攻擊活動是同一組織所為。

據Check Point預估，RubyMiner感染的服務器數量大約有700臺。從RubyMiner部署的自定義挖礦程序中發現的錢包地址來看，攻擊者賺取了約540美元。

由研究人員認為，如果攻擊者使用最近的漏洞利用，而非十年前的漏洞，其成功率會更高。比如，最近媒體報道稱，2017年10月攻擊者曾利用Oracle WebLogic服務器賺取了22.6萬美元。

近幾個月，加密貨幣挖礦攻擊企圖猖獗，尤其是門羅幣挖礦惡意軟件。除了門羅幣劫持事件，2017年出現了眾多門羅幣挖礦惡意軟件，包括Digmine、 Hexmen、Loapi、Zealot、WaterMiner、CodeFork和Bondnet。研究人員在2018年年初的兩周就已經發現針對Linux服務器的惡意軟件PyCryptoMiner，此外，研究人員還發現有黑客利用Oracle WebLogic漏洞開采門羅幣。

上述提到的大多數瞄準Web服務器的挖礦攻擊事件中，攻擊者嘗試利用最近的漏洞利用。但是，RubyMiner較特殊，因為攻擊者使用的是非常老舊的漏洞利用。芬克爾斯坦表示，攻擊者可能一直在故意搜尋系統管理員遺忘在網絡上的PC以及使用老舊版本的服務器。感染這些設備意味著能長期潛伏進行挖礦。