Киберпреступники используют мошенническую уловку для установки вредоносного ПО Crypto Mining

Киберпреступники

Компания Trend Micro, специализирующаяся в области кибербезопасности , подтвердила, что злоумышленники использовали уязвимость на сервере Oracle WebLogic для установки вредоносного ПО monero (XMR), в то же время используя файлы сертификатов в качестве способа обфускации. Новость была раскрыта в блоге Trend Micro, опубликованном 10 июня.
Как сообщалось ранее, формы скрытности добычи крипто также называют с отраслевым термином cryptojacking - практика установки вредоносного ПО, которое использует вычислительные мощности компьютера , чтобы добывать для cryptocurrencies без согласия или ведома владельца.
Согласно сообщению Trend Micro, патч безопасности для уязвимости Oracle WebLogic («CVE-2019-2725»), который, как сообщается, вызван ошибкой десериализации, был выпущен в национальной базе данных об уязвимостях ранее этой весной.
Однако Trend Micro ссылается на сообщения, появившиеся на форуме SANS ISC InfoSec, в которых утверждается, что эта уязвимость уже использовалась в целях криптографии, и подтверждает, что она проверила и проанализировала утверждения.
Фирма отмечает, что выявленные атаки развернули то, что она описывает как «интересный поворот», а именно, что «вредоносная программа скрывает свои вредоносные коды в файлах сертификатов в качестве тактики обфускации»:
«Идея использования файлов сертификатов для сокрытия вредоносных программ не нова [...] Используя файлы сертификатов в целях запутывания, часть вредоносных программ может избежать обнаружения, поскольку загруженный файл имеет формат файла сертификата, который рассматривается как нормально - особенно при установлении HTTPS-соединений ».
Анализ Trend Micro начинается с того, что вредоносная программа использует CVE-2019-2725 для выполнения команды PowerShell, запрашивая загрузку файла сертификата с сервера управления и контроля.
После продолжения отслеживания его шагов и характеристик - включая установку полезной нагрузки майнера XMR - Micro Trend отмечает явную аномалию в своем текущем развертывании:
«Достаточно просто, после выполнения команды PS из декодированного файла сертификата, другие вредоносные файлы загружаются, не будучи скрытыми через формат файла сертификата, упомянутый ранее. Это может указывать на то, что метод обфускации в настоящее время тестируется на его эффективность, а его распространение на другие варианты вредоносного ПО будет установлено позднее ».
Завершается публикация рекомендацией фирмам, использующим WebLogic Server, обновить свое программное обеспечение до последней версии с помощью исправления безопасности, чтобы снизить риск криптографии.
Как сообщалось , Trend Micro этой весной обнаружил серьезный всплеск криптоджекинга XMR, нацеленного на китайские системы, в ходе кампании, имитирующей более ранние действия, в которых использовался скрытый сценарий PowerShell для доставки вредоносного ПО для майнинга XMR. 

Комментариев нет:

Отправить комментарий