Wykorzystywanie podatności serwera dla zysku kryptowalutowego
Grupa ekspertów ds. bezpieczeństwa oświeciła taktykę grupy 8220 Gang, ujawniając ich schematy wydobywania kryptowalut, które wykorzystują podatności w serwerach Oracle WebLogic. Trend Micro, znana firma cyberbezpieczeństwa, zidentyfikowała sposób działania jednostki nazwanej Water Sigbin. Grupa ta słynie z wykorzystywania konkretnych luk w zabezpieczeniach, w tym CVE-2017-3506, CVE-2017-10271 oraz bardziej niedawnej CVE-2023-21839, jako ścieżek do instalacji złośliwego oprogramowania do wydobywania kryptowalut.
Podejście Water Sigbin charakteryzuje się dyskrecją, ponieważ wykorzystuje wyrafinowane metody uruchomienia bez plików. Procesy te obejmują wykonywanie plików DLL i wstrzyknięcie procesu, umożliwiając złośliwemu oprogramowaniu działanie bezpośrednio w pamięci komputera, omijając typowe metody wykrywania, które polegają na obecności plików na dysku.
Sprytne maskowanie i techniki unikania wykrycia
Po zainstalowaniu się na celowym serwerze, Water Sigbin uruchamia skrypt PowerShell w celu rozpoczęcia wieloetapowego procesu ataku, sprytnie zakamuflowując swoje działania, używając nazw aplikacji pochodzących od renomowanych źródeł. Łańcuch ataku kontynuuje się wdrożeniem ukrytego binarnego pliku, który uruchamia plik DLL. Ten pośredni agent, zwany PureCrypter, ma za zadanie zarówno zbieranie informacji systemowych i konfigurację kopacza kryptowalut, jednocześnie podejmując działania mające na celu ukrycie go przed antywirusem Microsoft Defender.
Dalsze interakcje z oddalonym serwerem poleceń i kontroli pozwalają złośliwemu oprogramowaniu otrzymywać zaszyfrowane instrukcje ułatwiające pobieranie i uruchamianie składnika do wydobywania kryptowalut. Ten element kopacza jest sprytnie maskowany jako autentyczny program Microsoftu, aby uniknąć wykrycia.
Dystrybucja pomocniczego złośliwego oprogramowania przez Grupę 8220 Gang
W ciekawym zwrocie zdarzeń zespół QiAnXin XLab niedawno wykrył nowe narzędzie wdrożone przez tę samą grupę, oznaczone jako k4spreader, służące do dystrybucji różnych złośliwych ładunków, w tym botnetu DDoS Tsunami i kopacza PwnRig. To wielofunkcyjne złośliwe oprogramowanie, wciąż w fazie rozwoju, wykorzystuje podobne podatności do roznoszenia się, posiadając funkcje takie jak samozachowanie, aktualizacje oraz wyłączanie innych konkurujących botnetów.
Trwający rozwój i doskonalenie narzędzi takich jak k4spreader wskazuje na ciągłe zagrożenie, jakie stanowią grupy takie jak 8220 Gang dla podatnych serwerów i systemów na całym świecie.
Zrozumienie zagrożeń i skutków ataków na serwery WebLogic
Serwery Oracle WebLogic są powszechnie wykorzystywane do budowania i wdrażania aplikacji korporacyjnych. Wykorzystane przez Water Sigbin luki mogą pozwolić atakującemu na zdalne wykonanie arbitralnego kodu, co może prowadzić do pełnego przejęcia systemu, kradzieży danych, zakłóceń w świadczeniu usług oraz w tym przypadku, do wydobywania kryptowalut. Atakujący często poszukują takich celów o wysokiej wartości ze względu na znaczne zasoby obliczeniowe, które mogą być wykorzystane do efektywnego kopania kryptowalut.
Kopanie kryptowalut, chociaż wydaje się mniej szkodliwe w porównaniu do kradzieży czy szpiegostwa, może powodować znaczne straty finansowe dla organizacji. Konsumuje ogromne ilości mocy obliczeniowej i energii elektrycznej, prowadząc do zwiększonych kosztów operacyjnych. Ponadto obecność kopacza może obniżyć wydajność i stabilność istotnych aplikacji biznesowych.
Złośliwe oprogramowanie do kopania kryptowalut: ciągłe wyzwanie
Najważniejsze pytania związane z tym tematem to:
– Jak organizacje mogą wykrywać i zapobiegać atakom z użyciem złośliwego oprogramowania bez plików?: Wykrywanie jest trudne ze względu na techniki unikania wykrycia przez złośliwe oprogramowanie. Rozwiązania obejmują usprawnienie mechanicznizmów wykrywających oparte na zachowaniu i stosowanie zaawansowanych systemów ochrony przed zagrożeniami, które monitorują działanie w pamięci.
– Jakie są najlepsze praktyki dla aktualizacji i zabezpieczania serwerów WebLogic?: Regularne stosowanie łatek bezpieczeństwa dostarczanych przez Oracle oraz narzucanie ścisłych kontroli dostępu może zmniejszyć ryzyko. Organizacje powinny także regularnie przeprowadzać audyty i monitorować ruch sieciowy pod kątem oznak intruzów.
– Jaka jest istota stosowania technik wykonywania plików DLL reflective i wstrzykiwania procesów?: Te techniki pozwalają atakującemu wykonywać złośliwy kod w pamięci, pozostawiając niewidoczne śladu na systemie plików, co utrudnia wykrycie i analizę forensyczną.
Największym wyzwaniem w radzeniu sobie z takimi zagrożeniami jest nadążanie za tempem, w jakim powstają nowe podatności i warianty złośliwego oprogramowania. Ponadto organizacje często borykają się z równowagą między ciągłością operacyjną a przerwami wymaganymi do stosowania łatek i aktualizacji.
Zalety i wady
Zalety skutecznych środków bezpieczeństwa obejmują ochronę danych poufnych, utrzymanie integralności serwera i zapobieganie nieautoryzowanemu wykorzystaniu zasobów do kopania kryptowalut. Jednak rygorystyczne środki bezpieczeństwa mogą prowadzić do zwiększonego obciążenia administracyjnego i potencjalnego zakłócenia usług krytycznych, jeśli nie są właściwie zarządzane.
Jeśli chcesz dowiedzieć się więcej o wglądach w cyberbezpieczeństwo Trend Micro, odwiedź ich stronę internetową pod adresem Trend Micro. Aby uzyskać informacje o najnowszych zaleceniach bezpieczeństwa i łatach dla serwera Oracle WebLogic, odwiedź oficjalną stronę Oracle pod adresem Oracle.
Kontrowersje mogą wynikać z równowagi między pozostawaniem na bieżąco z łatkami a praktycznością tego w złożonych środowiskach korporacyjnych, gdzie zmiany mogą wprowadzać nowe problemy lub przerwy. Pomimo tych wyzwań, ciągłe zagrożenie takimi wyrafinowanymi atakami sprawia, że organizacje muszą przestrzegać rygorystycznych praktyk dotyczących cyberbezpieczeństwa.