Компания Trend Micro, специализирующаяся в области кибербезопасности, подтвердила, что злоумышленники использовали уязвимость на сервере Oracle WebLogic для установки опасного ПО Monero (XMR), в то же время используя матерриалы сертификатов в качестве способа обфускации.
Новость была раскрыта в блоге Trend Micro, опубликованном 10 июня. Как сообщалось ранее, формы скрытого крипто-майнинга также называются отраслевым термином «криптография» – практика установки вредоносных программ, использующих вычислительную мощность компьютера для майнинга криптовалют без согласия или ведома владельца.
Согласно сообщению Trend Micro, исправление безопасности для уязвимости Oracle WebLogic («CVE-2019-2725»), которое, как сообщается, вызвано ошибкой десериализации, было выпущено в национальной базе данных об уязвимостях ранее этой весной. Однако Trend Micro ссылается на сообщения, появившиеся на форуме SANS ISC InfoSec, в которых утверждается, что эта уязвимость уже использовалась в целях криптографии, и подтверждает, что она проверила и проанализировала утверждения. Фирма отмечает, что выявленные атаки развернули то, что она описывает как «интересный поворот», а именно, что «опвсная программа скрывает свои коды в файлах сертификатов в качестве тактики обфускации»:
«Идея использования файлов сертификатов для сокрытия шпионских программ не нова. Используя файлы сертификатов в целях запутывания, часть вредоносного ПО может избежать обнаружения, поскольку загруженный файл имеет формат файла сертификата, который рассматривается как нормально – особенно при установлении HTTPS-соединений ».
Анализ Trend Micro начинается с того, что упомянутая выше программа использует CVE-2019-2725 для выполнения команды PowerShell, запрашивая загрузку соответствующего сертификата с сервера управления и контроля. После продолжения отслеживания его шагов и характеристик – включая установку полезной нагрузки майнера XMR – Micro Trend отмечает явную аномалию в своем текущем развертывании:
«Достаточно просто, после выполнения команды PS из декодированного сертификата, другие потенциально опасные файлы загружаются, не будучи скрытыми через формат файла сертификата, упомянутый ранее. Это может указывать на то, что метод обфускации в настоящее время тестируется на его эффективность, а его распространение на другие варианты хакерского ПО будет установлено позднее ».
Завершается публикация рекомендацией фирмам, использующим WebLogic Server, обновить свое программное обеспечение до последней версии с помощью исправления безопасности, чтобы снизить риск криптографии. Как недавно сообщалось, Trend Micro обнаружил серьезный всплеск криптоджекинга XMR, нацеленного на китайские системы, этой весной, в ходе кампании, имитирующей более ранние действия, в которых использовался скрытый сценарий PowerShell для установки ПО для добычи XMR.
