Oracle App Server Hack lässt einen Angreifer meinen Kryptocoins im Wert von 226.000 USD

Wenn Wenn “java” stirbt plötzlich auf Ihrem WebLogic- oder PeopleSoft-Server werden für Monero abgebaut. David Cairns / Getty Images

Im einem Bericht, der am 7. Januar vom SANS Technology Institute veröffentlicht wurde, Renato Marinho, Forscher bei Morphus Labs, enthüllte, was zu sein scheint eine laufende weltweite Hacking-Kampagne von mehreren Angreifern gegen PeopleSoft- und WebLogic-Server, die eine Webanwendung nutzen Server-Schwachstelle von Oracle Ende letzten Jahres gepatcht.

Weitere Lektüre

Oracle veröffentlicht 5 Patches für große Sicherheitslücken in PeopleSoft App-Server

Diese Angreifer stehlen jedoch keine Daten von Opfern Zumindest soweit das jemand beurteilen kann. Stattdessen wird der Exploit verwendet Kryptowährungen abzubauen. In einem Fall laut Analyse gebucht heute von SANS-Forschungsdekan Johannes B. Ullrich, dem Angreifer mindestens 611 Monero-Münzen (XMR) im Wert von 226.000 US-Dollar verrechnet die Kryptowährung.

Die Angriffe scheinen einen Proof-of-Concept-Exploit genutzt zu haben der Oracle-Sicherheitslücke, die im Dezember von Chinesen veröffentlicht wurde Sicherheitsforscher Lian Zhang. Fast sofort nach dem Beweis of concept wurde veröffentlicht, es gab Berichte darüber, wie man es gewöhnt war Installieren Sie Cryptominers von verschiedenen Standorten aus – Angriffe von Servern gestartet (einige davon sind wahrscheinlich kompromittierte Server) selbst) von Digital Ocean, GoDaddy und Athenix gehostet.

“Die Opfer sind weltweit verteilt”, schrieb Ullrich. “Diese ist kein gezielter Angriff. Sobald der Exploit veröffentlicht wurde, niemand Mit eingeschränkten Skriptfähigkeiten konnte an der Aufnahme teilgenommen werden WebLogic / PeopleSoft-Server herunterfahren. ”

Im Falle des von Marinho dokumentierten Angriffs der Angreifer ein legitimes Monero-Mining-Softwarepaket namens xmrig installiert Auf 722 anfälligen WebLogic- und PeopleSoft-Systemen – viele davon Laufen auf öffentlichen Cloud-Diensten, so Ulrich. Mehr als 140 dieser Systeme befanden sich in der öffentlichen Cloud von Amazon Web Services. und eine kleinere Anzahl von Servern befand sich auf anderem Hosting und Cloud Services – davon rund 30 in der Oracle Public Cloud Bedienung.

Der Exploit-Code erleichtert das Scannen nach anfälligen Systemen. Also das gesamte Universum von öffentlich zugänglichem, ungepatchtem Oracle Web Anwendungsserver könnten diesen und anderen schnell zum Opfer fallen Anschläge. Auf der positiven Seite, einige dieser Schleichbergbau Bemühungen wurden relativ schnell erkannt, weil das Skript verwendet wurde Das Mining – Tool “drop” hat auch den “Java” – Prozess auf der beendet Zielserver – Fahren Sie den Anwendungsserver im Wesentlichen herunter und die Aufmerksamkeit der Administratoren auf sich ziehen.

Das Installationsprogramm für den dokumentierten Monero-Angriff war einfach Bash-Skript. Es gibt Befehle aus, um andere zu suchen und zu töten Blockchain-Minenarbeiter, die möglicherweise davor angekommen sind, und es richtet ein CRON-Job zum Herunterladen und Starten des Miner-Tools, um es beizubehalten Standbein intakt.

Ullrich warnte, dass die Opfer ihre Reaktion nicht einfach beenden sollten auf diese Eingriffe durch Patchen ihrer Server und Entfernen der Bergbau-Software. “Es ist sehr wahrscheinlich, dass anspruchsvoller Angreifer nutzten dies, um dauerhaft auf dem System Fuß zu fassen. InIn diesem Fall bemerkten wir nur die CRON-Aufgabe. Aber Es gibt viel mehr und schwieriger zu entdeckende Wege, um zu gewinnen Beharrlichkeit.”

Like this post? Please share to your friends:
Leave a Reply

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: