La vulnérabilité CVE-2019-2725 qui est exposé dans l'application Oracle WebLogic Server a été abusé par des pirates conduisant à des infections de mineurs Monero. Plusieurs rapports de sécurité indiquent que les groupes criminels tirent profit du bogue et sont mis sur infecter autant d'utilisateurs d'ordinateurs que possible avec les mineurs de crypto-monnaie.
Oracle WebLogic Server Flaw et son bogue CVE-2019-2725 sont utilisés pour infecter les hôtes avec des mineurs Monero
Oracle WebLogic Server comme l'un des plus utilisés des solutions d'entreprise a été trouvé être impacté par un défaut dangereux. Il est suivi dans l'avis CVE-2019-2725 qui montre comment le serveur peut être piraté par des utilisateurs malveillants. Utilisation de la faute des attaquants distants peut lancer une commande PowerShell sur le serveur qui va déclencher un téléchargement de charge utile d'un fichier de certificat à l'hôte. L'utilitaire de certification sera ensuite décoder le contenu du fichier qui conduira à un fichier non compressé. Dans l'attaque actuelle de la charge utile finale est un mineur Monero.
Au cours de cette campagne la liste suivante de fichiers ont été déployés sur les ordinateurs des victimes:
- Sysupdate.exe - Ceci est le principal fichier de mineur Monero
- config.json - Ceci est le fichier de configuration d'accompagnement
- Networkservce.exe - Ceci est un autre module qui est probablement utilisé pour la distribution des charges utiles.
- Update.ps1 - Ce fichier contient le script PowerShell qui est exécuté en mémoire.
- Sysguard.exe #- Ceci est le chien de garde qui surveille l'activité du mineur Monero.
- clean.bat - Ceci est l'utilitaire de nettoyage.
La caractéristique de cette campagne est que la technique d'obscurcissement se fait via les fichiers de certificats de sécurité. Le code mineur sera installé crypto-monnaie comme une menace persistante rendant ainsi très difficile à enlever. Comme toujours la présence d'un tel code malveillant démarre une séquence de tâches qui placera un lourd tribut sur les performances et la stabilité du système. Chaque fois que l'un d'entre eux est signalé comme complète les criminels recevront un revenu sous forme de crypto-monnaie qui seront directement transférés à leur porte-monnaie. Oracle ont patché la vulnérabilité et sont incitant les clients à mettre à jour leurs installations le plus rapidement possible.