Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга

0
71

Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга

Криптоджекинг остается одной из главных кибер-угроз не только в криптовалютном пространстве. И хакеры, стремящиеся добыть немного Monero и других криптовалют за счет простых пользователей, становятся все изобретательнее в попытках запутать следы.

Компания Trend Micro, специализирующаяся в области кибербезопасности, подтвердила, что злоумышленники использовали уязвимость на сервере Oracle WebLogic для установки вредоносного ПО для майнинга Monero (XMR). В качестве способа обфускации (запутывания следов, скрытия деятельности вредоносного ПО) были использованы файлы сертификатов.

Скрытый майнинг – также именуемый «криптоджекингом» – довольно распространенная практика установки вредоносных программ, использующих вычислительную мощность компьютера для майнинга криптовалют без согласия или ведома владельца. По данным «Лаборатории Касперского», за прошлый год скрытые майнеры вышли на первое место в топе кибер-угроз, при этом киберпреступники все чаще отдают предпочтение криптовалюте Monero из-за легкости ее добычи и конфиденциальности транзакций.

Согласно сообщению Trend Micro, исправление безопасности для уязвимости Oracle WebLogic («CVE-2019-2725»), появление которого было вызвано ошибкой десериализации, было выпущено в национальной базе данных об уязвимостях ранее этой весной. Однако по сообщениям на форуме SANS ISC InfoSec, эта уязвимость уже использовалась в целях криптоджекинга. Trend Micro проверила и проанализировала эти утверждения. Изучение выявленных атак показало, что «вредоносная программа скрывает свои коды в файлах сертификатов в качестве тактики обфускации».

Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга

«Идея использования файлов сертификатов для сокрытия вредоносных программ не нова, – отмечают аналитики компании. – Используя файлы сертификатов в целях запутывания, часть вредоносного ПО может избежать обнаружения, поскольку загруженный файл имеет формат файла сертификата, который рассматривается как нормальный и доверенный – особенно при установлении HTTPS-соединений».

Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга Trend Micro: киберпреступники используют лазейку в Oracle для установки вредоносного ПО для майнинга

: Trend Micro

Как показал анализ Trend Micro, вредоносная программа использует CVE-2019-2725 для выполнения команды PowerShell, запрашивая загрузку файла сертификата с сервера управления и контроля. После продолжения отслеживания его шагов и характеристик – включая установку полезной нагрузки майнера XMR – в Trend Micro отметили явную аномалию в текущем развертывании:

«Как ни странно, после выполнения команды PS из декодированного файла сертификата другие вредоносные файлы загружаются, не будучи скрытыми, в формате файла сертификата, упомянутом ранее. Это может указывать на то, что метод обфускации в настоящее время тестируется [хакерами] на предмет его эффективности, а его распространение на другие варианты вредоносного ПО будет установлено позднее».

Аналитики Trend Micro рекомендовали фирмам, использующим WebLogic Server, обновить свое программное обеспечение до последней версии с помощью исправления безопасности, чтобы снизить риск скрытого майнинга.

Согласно недавним данным, более 50 000 серверов по всему миру могут быть заражены ПО для скрытого майнинга. При этом хакеры становятся все более изобретательными, используя комбинированные атаки и пряча вредоносные файлы в рекламе на YouTube и на фишинговых сайтах, ориентированных на криптотрейдеров.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here