De CVE-2019-2725 kwetsbaarheid die wordt tentoongesteld in de Oracle WebLogic Server applicatie is misbruikt door hackers leidt tot Monero mijnwerker infecties. Verschillende security rapporten blijkt dat criminele groepen zijn die misbruik maken van de bug en worden ingesteld op besmetten zo veel computergebruikers mogelijk met cryptogeld mijnwerkers.
Oracle WebLogic Server Flaw en zijn CVE-2019-2725 Bug worden gebruikt om Hosts Infect Met Monero Miners
De Oracle WebLogic Server als een van de meest gebruikte zakelijke oplossingen is gevonden te worden beïnvloed met een gevaarlijke fout. Het wordt bijgehouden in de CVE-2019-2725 adviesdiensten die laat zien hoe de server kan worden gehackt door kwaadwillende gebruikers. Met behulp van de schuld van de externe aanvallers kan een PowerShell commando op de server waarop een payload download van een certificaat bestand zal leiden naar de host te starten. De certificatie programma zal dan decoderen van de inhoud van het bestand die zal leiden tot een niet-gecomprimeerd bestand. In de huidige aanslag de laatste lading een Monero miner.
Tijdens deze bijzondere campagne de volgende lijst met bestanden zijn ingezet op het slachtoffer computers:
- Sysupdate.exe - Dit is de belangrijkste Monero mijnwerker bestand
- Config.json - Dit is het bijbehorende configuratiebestand
- Networkservce.exe - Dit is een andere module die waarschijnlijk wordt gebruikt voor de distributie van de payloads.
- Update.ps1 - Dit bestand bevat de PowerShell script dat wordt uitgevoerd in het geheugen.
- Sysguard.exe #- Dit is de waakhond dat de activiteit van de Monero mijnwerker bewaakt.
- Clean.bat - Dit is de clean-up tool.
Het kenmerk van deze campagne is dat de vertroebeling techniek wordt gedaan via het beveiligingscertificaat bestanden. De cryptogeld mijnwerker code zal worden geïnstalleerd als een aanhoudende dreiging waardoor het zeer moeilijk te verwijderen. Zoals altijd is de aanwezigheid van een dergelijke kwaadaardige code een opeenvolging van taken die een zware tol zal leggen op de prestaties en stabiliteit van het systeem zal beginnen. Wanneer één van hen wordt gerapporteerd als voltooid de criminelen de inkomsten ontvangen in de vorm van cryptogeld die direct zal worden overgebracht naar hun portemonnee. Oracle hebben de kwetsbaarheid gepatcht en zijn aandringen klanten om hun installaties bij te werken zo snel mogelijk.
Martin Beltov
Martin studeerde af met een graad in de uitgeverij van de universiteit van Sofia. Als een cyber security enthousiast dat hij geniet van het schrijven over de nieuwste bedreigingen en de mechanismen van inbraak.
Volg mij: