Pesquisadores da VulnCheck identificaram uma campanha sofisticada que explora a vulnerabilidade CVE-2021-41773 no Apache HTTP Server para implantar o minerador de criptomoedas conhecido como Linuxsys. Essa falha, presente na versão 2.4.49 do servidor web, é um problema de path traversal que pode permitir execução remota de código e possui uma pontuação CVSS de 7.5.
Segundo o relatório, os invasores utilizam sites legítimos previamente comprometidos para distribuir o malware, dificultando a detecção por ferramentas de segurança. O ataque foi rastreado até um IP na Indonésia (103.193.177[.]152) e envolve o download de cargas maliciosas do domínio repositorylinux[.]org, por meio de ferramentas como curl ou wget.
O script inicial baixa o minerador Linuxsys a partir de cinco sites comprometidos, estratégia que reforça a furtividade da campanha, já que os downloads são feitos de servidores com SSL válido, mascarando a origem maliciosa. Além disso, os mesmos sites hospedam um script chamado “cron.sh”, projetado para garantir a execução do minerador após reinicializações do sistema.
Curiosamente, foram encontrados também executáveis para Windows, sugerindo que os hackers podem estar mirando outros sistemas além do Linux.
Histórico de exploração e táticas dos invasores
O grupo responsável não é novo no cenário. Pesquisadores já associaram o Linuxsys a ataques anteriores que exploraram vulnerabilidades graves, como:
- CVE-2024-36401 – falha no OSGeo GeoServer (CVSS 9.8);
- CVE-2023-22527 – injeção de template no Atlassian Confluence;
- CVE-2023-34960 – injeção de comando em sistemas LMS Chamilo;
- CVE-2023-38646 – injeção de comando no Metabase;
- CVE-2024-0012 e CVE-2024-9474 – falhas em firewalls da Palo Alto Networks.
De acordo com a VulnCheck, trata-se de uma campanha de longo prazo, que combina exploração de vulnerabilidades conhecidas (n-days), hospedagem de malwares em servidores comprometidos e técnicas para evitar ambientes de análise (honeypots).
Backdoor GhostContainer: um segundo vetor de ataque
Em paralelo, a Kaspersky relatou outra campanha avançada direcionada a entidades governamentais na Ásia, envolvendo um backdoor altamente sofisticado chamado GhostContainer.
Provavelmente entregue por meio de uma vulnerabilidade antiga no Microsoft Exchange Server (possivelmente a CVE-2020-0688), o GhostContainer oferece aos invasores controle total do servidor comprometido, incluindo:
- Execução de comandos arbitrários e shellcode;
- Leitura, exclusão e upload de arquivos;
- Download de módulos adicionais para ampliar funcionalidades;
- Criação de túneis e proxies web para comunicação furtiva.
A Kaspersky destaca que o malware não utiliza servidores de C2 tradicionais. Em vez disso, os invasores acessam diretamente os sistemas comprometidos, escondendo comandos em requisições web normais, tornando a detecção ainda mais difícil.
O que isso significa para empresas
As duas campanhas reforçam um ponto crítico: a exploração de vulnerabilidades conhecidas continua sendo um dos principais vetores de ataque, principalmente quando as atualizações não são aplicadas rapidamente.
Recomendações essenciais:
- Atualizar imediatamente o Apache HTTP Server para versões corrigidas;
- Monitorar tráfego suspeito, especialmente conexões para domínios fora do padrão;
- Revisar servidores Exchange e aplicar todos os patches de segurança;
- Reforçar políticas de defesa em camadas, incluindo EDR e segmentação de redes.
Os pesquisadores alertam: campanhas como essa não são ataques oportunistas. Elas indicam operações bem planejadas e direcionadas, com foco em infraestruturas críticas e dados de alto valor.
