La vulnerabilidad CVE-2019-2725 que se exhibe en la aplicación Oracle WebLogic Server fue abusado por los hackers que conducen a infecciones minero Monero. Varios informes de seguridad indican que los grupos criminales se están aprovechando del error y se fijan a infectar el mayor número de usuarios de computadoras como sea posible con los mineros criptomoneda.
Un error de Oracle WebLogic Server y su Bug CVE-2019-2725 se utilizan para infectar a los anfitriones con los mineros Monero
El servidor Oracle WebLogic como una de las soluciones empresariales más utilizados se ha encontrado para ser impactado con un defecto peligroso. Se está realizando un seguimiento en el aviso CVE-2019-2725, que muestra cómo el servidor puede ser hackeado por usuarios maliciosos. Utilizando la culpa a los atacantes remotos puede iniciar un comando de PowerShell en el servidor, lo que disparará una descarga de carga útil de un archivo de certificado al host. La utilidad de la certificación será entonces descifrar el contenido del archivo que conducirán a un archivo sin comprimir. En el actual ataque de la carga útil final es un minero Monero.
Durante esta campaña en particular la siguiente lista de archivos se han desplegado en los ordenadores victima:
- Sysupdate.exe - Este es el archivo principal Monero minero
- config.json - Este es el archivo de configuración de acompañamiento
- Networkservce.exe - Este es otro módulo que probablemente se está utilizando para la distribución de las cargas útiles.
- Update.ps1 - Este archivo contiene la secuencia de comandos PowerShell que se ejecuta en la memoria.
- Sysguard.exe #- Este es el perro guardián que vigila la actividad de la minera Monero.
- clean.bat - Esta es la utilidad de limpieza.
La característica definitoria de esta campaña es que la técnica de ofuscación se realiza a través de los archivos de certificado de seguridad. El código minero criptomoneda se instalará como una amenaza persistente haciendo así que sea muy difícil de quitar. Como siempre la presencia de dicho código malicioso se iniciará una secuencia de tareas que va a colocar una pesada carga sobre el rendimiento y la estabilidad del sistema. Cada vez que uno de ellos se indica como completa los criminales recibirán ingresos en forma de criptomoneda que será transferida directamente a sus bolsillos. Oracle han parcheado la vulnerabilidad y están instando a los clientes a actualizar sus instalaciones tan pronto como sea posible.