Apache HTTP Server高風險漏洞遭濫用，主機淪為駭客挖礦工具

資安廠商Vulncheck發現有攻擊者利用Apache HTTP Server的高風險漏洞，入侵伺服器部署加密貨幣挖礦惡意軟體Linuxsys。這波攻擊行動持續時間長且手法隱蔽，影響範圍涵蓋約400臺主機，研究人員提醒企業應修補相關漏洞強化監控，以防主機遭到入侵濫用。

攻擊行動鎖定的是Apache HTTP Server於2021年被發現的高風險漏洞CVE-2021-41773，該漏洞容易被遠端攻擊者利用，並可繞過權限控管。研究人員表示，駭客透過自動化腳本，結合多個漏洞進行攻擊，先取得目標主機權限，再下載並執行名為Linuxsys的挖礦程式，進行加密貨幣運算。

這波攻擊最大的特點，是攻擊者並非直接從自己架設的主機散布惡意程式，而是先入侵第三方的合法網站，將惡意腳本和執行檔偷偷放進這些網站的目錄下。攻擊腳本會利用curl或wget等工具，自動從這些被入侵的網站下載設定檔和主要程式，並且設計成如果一個網站下載失敗，會自動嘗試從其他被入侵的網站再下載一次，這樣不僅提高攻擊成功率，也更難被偵測發現。此外，這些腳本還會自動建立排程，讓挖礦程式在系統重開機後也會自動執行，確保攻擊長期有效。

研究人員提到，被植入的Linuxsys程式會將受害主機運算資源導向Monero（XMR）加密貨幣礦池，例如hashvault.pro等，利用XMRig進行加密貨幣挖礦。攻擊者所掌控的礦工數量約在400臺主機左右，每日平均收益雖僅約0.024 XMR，折合新臺幣約數百元，規模並不算大，但由於手法長期且隱蔽，還會持續利用多個漏洞更新感染主機來源，對於未修補系統的企業與主機營運商而言，是一個不容忽視的風險。

值得注意的是，攻擊活動可能不僅限於Linux平臺，研究人員發現，部分被入侵的合法網站同時被放置了Windows平臺的惡意執行檔，顯示攻擊者具備跨平臺行動能力，不過，目前仍以Linux環境為主要攻擊目標。