La vulnerabilità CVE-2019-2725, che è esposta nella domanda di Oracle WebLogic Server è stato abusato da parte di hacker che portano a infezioni minatore Monero. Diversi rapporti di sicurezza indicano che gruppi criminali stanno approfittando del bug e sono impostati su infettare il maggior numero di utenti di computer possibile con i minatori criptovaluta.
Un difetto del server Oracle WebLogic e il suo CVE-2019-2725 Bug vengono utilizzati per infettare gli host Con Minatori Monero
L'Oracle WebLogic Server come una delle soluzioni aziendali più diffuse è stato trovato per essere colpito con un difetto pericoloso. Esso viene monitorato nella consulenza CVE-2019-2725, che mostra come il server può essere violato da utenti malintenzionati. Utilizzando la colpa degli attaccanti remoti possono avviare un comando di PowerShell sul server che attiverà un download carico utile di un file di certificato per l'host. L'utilità certificazione sarà poi decodificare il contenuto del file che porteranno a un file non compresso. In attacco corrente il carico utile finale è un minatore Monero.
Durante questa campagna particolare il seguente elenco di file sono stati distribuiti sui computer delle vittime:
- Sysupdate.exe - Questo è il file principale minatore Monero
- Config.json - Questo è il file di configurazione di accompagnamento
- Networkservce.exe - Questo è un altro modulo che probabilmente è utilizzato per la distribuzione dei carichi utili.
- Update.ps1 - Questo file contiene lo script PowerShell che è gestito in memoria.
- Sysguard.exe #- Questo è il cane da guardia che monitora l'attività del minatore Monero.
- Clean.bat - Questo è l'utility di clean-up.
La caratteristica distintiva di questa campagna è che la tecnica di offuscamento è fatto tramite i file di certificato di sicurezza. Il codice criptovaluta minatore sarà installato come una minaccia persistente rendendo così molto difficile da rimuovere. Come sempre la presenza di tale codice dannoso inizierà una sequenza di attività che metterà un tributo pesante sulle prestazioni e la stabilità del sistema. Ogni volta che uno di essi è riportato il più completo i criminali riceveranno reddito sotto forma di criptovaluta che saranno trasferiti direttamente ai loro portafogli. Oracle ha patchato la vulnerabilità e sono invitando i clienti ad aggiornare le loro installazioni il più presto possibile.
Martin Beltov
Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.
Seguimi: