F5 Labs的一份报告描述了一个新的加密活动，该活动针对Linux系统

新的加密活动的运营商对其竞争对手采取激进行动，并停止其声称的机器上的其他加密活动。

网络犯罪分子可以快速利用他们手中的任何概念验证（PoC）漏洞利用代码。对于最近披露的Apache Struts漏洞（CVE-2018-11776），有多个可用的PoC，因此在外界利用的漏洞的消息并不令人意外。

Cryptomining现在风靡一时，Struts漏洞已被多个黑客迅速采用。

随着受害者CPU周期的竞争越来越激烈，一名黑客决定强行挑战对手。

取消比赛

F5 Labs的一份报告描述了一个新的加密活动，该活动针对Linux系统，并识别机器上其他加密器的进程，目的是终止它们。

研究人员将此活动命名为CroniX，这是一个绰号，它源于恶意软件使用Cron实现持久性，而Xhide则使用虚假进程名称启动可执行文件。

在受害者计算机上铸造的加密货币是Monero（XMR），这是加密劫持活动的首选币。

为了确保竞争对手的活动不会恢复，CroniX会删除系统中存在的其他密码系统的二进制文件。

CroniX在机器上建立优势的另一个动作是检查进程的名称并杀死那些吞下60％或更多CPU的进程。

“这可能是为了避免杀死合法进程，因为这些矿工的名字（crond，sshd和syslogs）通常与Linux系统上的合法程序有关，”F5 推测。

利用CVE-2018-11776可以注入可能包含恶意代码的对象图导航语言（OGNL）表达式，例如用于Monero的Coinhive JavaScript挖掘器。使用CroniX，注入点位于URL中。

“攻击者在注入OGNL表达式时发送单个HTTP请求，该表达式一旦评估，就执行shell命令下载并执行恶意文件，”该报告解释说。

虽然F5 Labs观察到此活动针对使用Apache Struts的Linux系统，但研究人员发现了一项针对Windows机器的操作目前正在进行中的证据。

CroniX只是利用CVE-2018-11776漏洞的最新加密活动。