Li “java” náhle zemře na vašem serveru WebLogic nebo PeopleSoft být těžen za Monero.David Cairns / Getty Images
Ve zprávě zveřejněné 7. ledna společností SANS Technology v stitute, Výzkumník společnosti Morphus Labs Renato Marinho odhalil, co se zdá být probíhající celosvětová hackerská kampaň několika útočníků proti Servery PeopleSoft a WebLogic využívající webovou aplikaci zranitelnost serveru opravená společností Oracle koncem minulého roku.
Další čtení
Oracle spěchá 5 oprav pro velké zranitelnosti v programu PeopleSoft aplikační server
Tito útočníci však neukradnou data od obětí – na nejméně pokud to dokáže kdokoli. Místo toho se využívá exploit těžit kryptoměny. V jednom případě podle zveřejněné analýzy dnes SANS Dean of Research Johannes B. Ullrich, útočník započteno nejméně 611 monero mincí (XMR) – hodnota 226 000 dolarů kryptoměna.
Zdá se, že útoky využily důkaz o konceptu zranitelnosti Oracle publikované v prosinci Číňany bezpečnostní výzkumník Lian Zhang. Téměř okamžitě po důkazu koncepce byla zveřejněna, existovaly zprávy o tom, na co byl zvyklý instalujte kryptominery z několika různých míst – útoků spuštěno ze serverů (některé z nich pravděpodobně ohrožovaly servery) sami) hostované společnostmi Digital Ocean, GoDaddy a Athenix.
“Oběti jsou distribuovány po celém světě,” napsal Ullrich. “Tento není cílený útok. Jakmile bylo vykořisťování zveřejněno, kdokoli s omezenými skriptovacími schopnostmi se mohl podílet na přijímání dolů servery WebLogic / PeopleSoft. “
V případě útoku zdokumentovaného útočníkem Marinho nainstalovali legitimní softwarový balíček těžby Monero s názvem xmrig na 722 zranitelných systémech WebLogic a PeopleSoft – mnoho z nich běží na veřejných cloudových službách, podle Ulricha. Více než 140 z těchto systémů bylo ve veřejném cloudu Amazon Web Services, a menší počet serverů byl na jiném hostingu a cloudu služby – včetně zhruba 30 ve vlastním cloudu společnosti Oracle služba.
Exploit code usnadňuje skenování zranitelných systémů, takže celý vesmír veřejně vystavené, nepatřené Oracle Web aplikační servery by se mohly rychle stát obětí těchto i jiných útoky. Na druhé straně některé z těchto tajných těžařství úsilí bylo detekováno relativně rychle, protože skript býval “drop” těžební nástroj také zabil “java” proces na cílené servery – v podstatě vypínání aplikačního serveru a rychlou pozornost správců.
Instalátor použitý v dokumentovaném útoku Monero byl jednoduchý bash skript. Vydává příkazy k vyhledávání a zabíjení jiných horníci blockchainu, kteří mohli přijít před tím, a nastaví a Úkolem CRON je stáhnout a spustit nástroj pro těžbu, aby si ho udržel opora neporušená.
Ullrich varoval, že oběti by neměly jednoduše ukončit svou odpověď k těmto narušením tím, že opraví jejich servery a odstraní těžební software. “Je velmi pravděpodobné, že je sofistikovanější.” útočníci to využili k získání trvalého opory v systému. Inv tomto případě, jediná „vytrvalost“, kterou jsme si všimli, byla práce CRON. Ale existuje mnohem více a těžší odhalit způsoby, jak získat vytrvalost.”
