黑客組織利用 Cacti“Network Weathermap”插件中一個(gè)存在 5 年之久的漏洞，在 Linux 服務(wù)器上安裝了 Monero 礦工，賺了近 75,000 美元。來自美國安全公司趨勢科技的專家表示，他們有證據(jù)證明這些攻擊與過去發(fā)生在 Jenkins 服務(wù)器上的攻擊有關(guān)：黑客組織利用 CVE-2017-1000353 漏洞在 Jenkins 設(shè)備上安裝 Moner 礦工，獲得了約 300 萬美元。

  這次，攻擊者利用了 Cacti 的 CVE-2013-2618 漏。Cacti 是一個(gè)基于 PHP 的開源網(wǎng)絡(luò)監(jiān)視和圖形工具，更具體地說，是在其 Network Weathermap 插件中負(fù)責(zé)可視化網(wǎng)絡(luò)活動(dòng)。

  就像在以前的攻擊一樣，黑客利用這個(gè)漏洞獲得底層服務(wù)器的代碼執(zhí)行能力，在這些服務(wù)器上他們下載并安裝了一個(gè)合法的 Monero 挖掘軟件 XMRig 的定制版本。

  攻擊者還修改了本地 cron 作業(yè)，每三分鐘觸發(fā)一次“watchd0g”Bash 腳本，該腳本檢查 Monero 礦工是否仍處于活動(dòng)狀態(tài)，并在 XMRig 的進(jìn)程停止時(shí)重新啟動(dòng)它。

  攻擊者使用這種簡單的操作模式收獲了大約 320 XMR（75,000 美元）。所有受感染的服務(wù)器都運(yùn)行 Linux，大多數(shù)受害者位于日本（12％），中國（10％），臺(tái)灣（10％）和美國（9％）。

  由于 Cacti 系統(tǒng)通常設(shè)計(jì)為運(yùn)行并密切關(guān)注內(nèi)部網(wǎng)絡(luò)，因此不應(yīng)在線訪問此類實(shí)例。