100 USDT
Майнинг криптовалют с использованием уязвимостей Oracle WebLogic
Специалисты по кибербезопасности пролили свет на операции по майнингу криптовалют, проводимые группировкой 8220 Gang путем эксплуатации известных уязвимостей в Oracle WebLogic Server.
«Злоумышленники применяют техники безфайловой работы, используя отражение DLL и внедрение процессов, что позволяет вредоносному коду выполняться исключительно в памяти и избегать механизмов обнаружения на диске» – заявили сегодня в своем новом анализе исследователи Trend Micro Ахмед Мохамед Ибрагим, Шубхам Сингх и Сунил Бхарти.
Компания по кибербезопасности отслеживает актора, имеющего финансовую мотивацию, под именем Water Sigbin, о котором известно, что он использует уязвимости в Oracle WebLogic Server, такие как CVE-2017-3506, CVE-2017-10271 и CVE-2023-21839, для первоначального доступа и выгрузки вредоносного ПО для майнинга с помощью поэтапной методики внедрения.
Многоэтапный процесс майнинга
После успешного закрепления злоумышленники разворачивают скрипт PowerShell, ответственный за выгрузку первоначального загрузчика («wireguard2-3.exe»), который имитирует легальную VPN-приложение WireGuard, но на самом деле запускает в памяти другой бинарник («cvtres.exe») с помощью DLL («Zxpus.dll»).
Внедряемый исполняемый файл служит каналом для загрузки загрузчика PureCrypter («Tixrgtluffu.dll»), который, в свою очередь, извлекает информацию об оборудовании на удаленный сервер и создает запланированные задания для запуска программы для майнинга, а также исключает вредоносные файлы из Microsoft Defender Antivirus.
Заключение
- Группировка 8220 Gang использует уязвимости в Oracle WebLogic Server для майнинга криптовалют.
- Они применяют техники безфайловой работы, чтобы уйти от обнаружения.
- Злоумышленники используют многоэтапную процедуру для загрузки и запуска программы для майнинга, представляя ее как легитимное ПО.
- Происходящие события подчеркивают важность поддержания программного обеспечения в актуальном состоянии и надлежащей защиты от киберугроз.
Следите за новостями:
- Twitter: https://twitter.com/bitboosters
- LinkedIn: https://www.linkedin.com/company/bitboosters/
Права принадлежат BITboosters.ru
Пульс Новости 8,125 из 10
- Значимость новости: 9. Операция по майнингу криптовалют, направленная на Oracle WebLogic Server, представляет значительную угрозу для предприятий, использующих это программное обеспечение.
- Инновационная ценность новости: 7. Хотя используемые техники не являются новыми, их комбинация предполагает инновационный подход для обхода средств обнаружения на основе дисков.
- Потенциальное влияние новости на рынок: 7. Успешные атаки на Oracle WebLogic Server могут привести к финансовым потерям для предприятий, особенно тех, которые занимаются майнингом криптовалюты.
- Релевантность новости: 10. Новость напрямую связана с криптовалютным рынком, предоставляя информацию о текущих угрозах, которые могут повлиять на майнеров криптовалют.
- Актуальность новости: 9. Новость основана на недавнем исследовании, опубликованном Trend Micro, что указывает на ее актуальность.
- Достоверность новости: 8. Источником новости является авторитетный сайт по кибербезопасности (TheHackerNews), что говорит о ее достоверности.
- Общий тон новости: 7. Общий тон новости нейтрален и информативен, предоставляя объективную информацию об угрозе и ее характере.
- Источник новости: 9. TheHackerNews является уважаемым источником информации по кибербезопасности, что добавляет credibility к новости.
