VulnCheck 安全研究人員發現了一項新的活動，該活動利用影響 Apache HTTP Server 的已知安全漏洞來提供名為Linuxsys的加密貨幣礦工。此漏洞為CVE-2021-41773（CVSS 評分：7.5），是 Apache HTTP Server 版本 2.4.49 中的一個高嚴重性路徑遍歷漏洞，可能導致遠端執行程式碼。

VulnCheck 的 Jacob Baines在與 The Hacker News 分享的一份報告中表示： “攻擊者利用被入侵的合法網站來傳播惡意軟體，從而實現隱秘傳播並逃避檢測。”此感染序列於本月稍早被發現，源自印尼 IP 位址103.193.177[.]152，旨在使用 curl 或 wget 從「repositorylinux[.]org」中刪除下一階段的有效載荷。

Linuxsys 礦工攻擊的發現恰逢與 H2Miner 加密貨幣挖礦殭屍網路相關的新活動，該殭屍網路會傳播Kinsing，這是一種遠端存取木馬 (RAT)，通常用於透過針對各種基於 Linux 的基礎設施系統來傳播挖礦惡意軟體。該攻擊鏈的突出之處在於，它還提供了基於 Visual Basic Script 的 Lcryx 勒索軟體變體，稱為 Lcrypt0rx，這是兩個惡意軟體家族之間首次有記錄的運作重疊實例。

雖然人們對這些攻擊背後的主謀知之甚少，但他們被認為技術高超，對 Microsoft Exchange Server 有著深入的了解，並且能夠將公開的程式碼轉換成先進的間諜工具。卡巴斯基表示：“GhostContainer 後門不會與任何 [命令與控制] 基礎設施建立連接。相反，攻擊者從外部連接到受感染的伺服器，並將其控制命令隱藏在正常的 Exchange Web 請求中。”

​​​​​​​Lcrypt0rx 會修改 Windows 登錄，停用系統設定公用程式、群組原則編輯器、行程資源管理器和系統設定公用程式等關鍵工具的執行。它還會關閉微軟、Bitdefender 和卡巴斯基的安全軟體，並嘗試覆蓋主開機記錄 (MBR)，這是一種破壞性操作，旨在使系統無法啟動。

有趣的是，Lcrypt0rx 在加密之前會將額外的有效載荷下載到受感染的機器上，包括由 H2Miner、Cobalt Strike、ConnectWise ScreenConnect、Lumma 和RustyStealer等資訊竊取程式以及為 DCRat 服務的注入器丟棄的相同 XMRig 有效載荷。一旦文件加密，就會在多個地方留下勒索信，要求受害者在三天內支付 1,000 美元的加密貨幣，否則文件將面臨洩漏的風險。