Oracle WebLogic Serverアプリケーションに見られるCVE-2019-2725の脆弱性がハッカーによって悪用され、Moneroマイナー感染につながりました. いくつかのセキュリティレポートは、犯罪グループがバグを利用しており、できるだけ多くのコンピューターユーザーを暗号通貨マイナーに感染させるように設定されていることを示しています.
Oracle WebLogic Serverの欠陥とそのCVE-2019-2725バグは、Moneroマイナーでホストを感染させるために使用されます
最も広く使用されているエンタープライズソリューションの1つであるOracleWebLogicServerは、危険な欠陥の影響を受けることが判明しています。. 悪意のあるユーザーがサーバーをハッキングする方法を示すCVE-2019-2725アドバイザリで追跡されています. 障害を使用して、リモートの攻撃者はサーバー上でPowerShellコマンドを開始し、ホストへの証明書ファイルのペイロードダウンロードをトリガーできます。. 次に、認証ユーティリティはファイルの内容をデコードし、圧縮されていないファイルを作成します. 現在の攻撃では、最終的なペイロードはMoneroマイナーです.
この特定のキャンペーン中に、次のファイルのリストが被害者のコンピューターに展開されました:
- Sysupdate.exe —これはメインのMoneroマイナーファイルです
- Config.json —これは付随する構成ファイルです
- Networkservce.exe —これはおそらくペイロードの配布に使用されている別のモジュールです.
- Update.ps1 —このファイルには、メモリ内で実行されるPowerShellスクリプトが含まれています.
- Sysguard.exe #—これはMoneroマイナーのアクティビティを監視するウォッチドッグです.
- Clean.bat —これはクリーンアップユーティリティです.
このキャンペーンの特徴は、難読化手法がセキュリティ証明書ファイルを介して行われることです。. 暗号通貨マイナーコードは永続的な脅威としてインストールされるため、削除が非常に困難になります. いつものように、そのような悪意のあるコードの存在は、システムのパフォーマンスと安定性に大きな打撃を与える一連のタスクを開始します. それらの1つが完了したと報告されるたびに、犯罪者は暗号通貨の形で収入を受け取り、それが直接ウォレットに転送されます. オラクルはこの脆弱性にパッチを適用しており、 できるだけ早くインストールを更新するようにお客様に促します.