Peretas Mengeksploitasi Kerentanan WebLogic untuk Memberikan Cryptocurrency

  • Whatsapp
Peretas Mengeksploitasi Kerentanan WebLogic untuk Memberikan Cryptocurrency
Peretas Mengeksploitasi Kerentanan WebLogic untuk Memberikan Cryptocurrency
Peretas Mengeksploitasi Kerentanan WebLogic

Untuk mengirimkan malware penambangan cryptocurrency, aktor ancaman secara aktif mengeksploitasi kerentanan lama dan yang baru ditemukan di Oracle WebLogic Server.

Penelitian terbaru oleh Trend Micro telah diidentifikasi bahwa ada kelompok yang termotivasi secara finansial menggunakan skrip Python untuk mengeksploitasi kerentanan di Oracle WebLogic Server.

Linux yang Ditingkatkan Keamanan (SELinux) dan fitur keamanan OS lainnya dinonaktifkan oleh skrip ini untuk melumpuhkan fungsinya. Malware Kinsing telah digunakan untuk memindai server yang rentan sebagai bagian dari metodologi konstruksi botnet di masa lalu.

Analisis Teknis

Masih ada persenjataan aktif CVE-2020-14882 oleh aktor jahat bahkan jika itu adalah kerentanan yang lebih tua, karena mereka masih secara aktif mendapatkan pijakan di organisasi korban dengan mempersenjatainya.

Selain kampanye melawan lingkungan kontainer, aktor Kinsing juga berpartisipasi dalam beberapa lainnya.

CVE-2020-14882 adalah salah satu kerentanan yang dipersenjatai sebagai bagian dari gelombang serangan terbaru, dan memiliki skor CVSS 9,8.

Kerentanan ini merupakan kelemahan RCE yang sudah ada selama dua tahun. Ini memungkinkan penyerang untuk mendapatkan kendali atas server yang belum ditambal dan menyebarkan muatan dan kode berbahaya.

Ada beberapa botnet yang telah mengeksploitasi kerentanan ini di masa lalu pada sistem Linux yang terinfeksi dengan penambang Monero serta backdoor Tsunami.

Cacat tersebut berhasil dieksploitasi dengan menggunakan skrip shell, yang menyebabkan keberhasilan eksploitasi cacat tersebut. Skrip shell kemudian dieksekusi dan pekerjaan cron kemudian digunakan untuk memastikan kegigihan malware Kinsing dengan mengunduh malware itu dari server jarak jauh.

Sejumlah muatan berbahaya dan malware diduga didistribusikan oleh akun berikut di berbagai saluran:-

Di sini di bawah ini kami telah menyebutkan semua muatan berbahaya yang didistribusikan: –

  • Rootkit
  • Kubernetes mengeksploitasi kit
  • Pencuri kredensial
  • Penambang XMRig Monero
  • Menghancurkan malware

Menambah fakta bahwa Docker telah diberitahu tentang akun yang gambar alpineosnya berbahaya. Dan tidak hanya itu, bahkan gambar jahat tersebut telah diunduh lebih dari 150.000 kali.

Modul Keamanan Beban Kerja

Sejumlah modul Workload Security digunakan untuk mengidentifikasi kerentanan sistem yang rentan terhadap CVE-2020-14882. Modul-modul ini adalah: –

  • Modul sistem pencegahan intrusi
  • Modul antimalware
  • Modul reputasi web
  • Modul pemantauan aktivitas

Seluruh rantai serangan menarik karena rantai serangan tampaknya telah dirancang sedemikian rupa sehingga membuat enkripsi SECP256K1 lebih mudah dipatahkan. Jika aktor berhasil mendapatkan kunci ke dompet cryptocurrency apa pun dengan bantuan metode ini, itu akan memberinya akses ke dompet cryptocurrency apa pun.

Pada dasarnya, skema ini bertujuan untuk meningkatkan daya komputasi target, yang sangat tinggi, tetapi ilegal. Kemudian perlu menjalankan pemecah ECDLP untuk mendapatkan kunci.

Organisasi harus mengonfigurasi REST API mereka yang diekspos ke publik dengan TLS untuk mengurangi implikasi serangan AiTM.

Unduh SWG Gratis – Penyaringan Web Aman – buku elektronik

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.