Уразливість в Oracle WebLogic використовують для зараження криптомайнерами

Семенюк Валентин
2 хв. читання

Виправлена ​​нещодавно уразливість в Oracle WebLogic активно експлуатується кіберзлочинцями для встановлення на вразливі сервери майнерів криптовалют.

Йдеться про уразливість десеріалізації, відновлення початкового стану структури даних із бітової послідовності,  (CVE-2019-2725), що дозволяє неавторизованому зловмисникові віддалено виконувати команди. Про проблему стало відомо в квітні нинішнього року, коли кіберзлочинці вже виявляли до неї інтерес. Oracle виправила уразливість в кінці того ж місяця, однак, за даними Trend Micro, в ей час вона активно використовується в атаках.

Як повідомляють дослідники, за допомогою уразливості зловмисники встановлюють на скомпрометовані машини програмне забезпечення для майнінгу криптовалют. Для обходу виявлення вони ховають шкідливий код у файлах цифрових сертифікатів.

Після виконання на системі шкідник експлуатує уразливість для виконання команд і ряду завдань. Спочатку за допомогою PowerShell з C&C-сервера завантажується файл сертифіката, для розшифровки якого використовується легітимний інструмент CertUtil. Потім за допомогою PowerShell цей файл виконується на цільовій системі і видаляється за допомогою cmd.

Сертифікат виглядає як звичайний у форматі Privacy-Enhanced Mail (PEM), проте має форму команди PowerShell замість звичного формату X.509 TLS. До отримання команди файл повинен розшифровуватися двічі, що досить незвично, тому що команда експлойта використовує CertUtil тільки один раз.

Ідея використовувати файли сертифікатів для обфускації (заплутування) шкідливого коду далеко не нова. Проте, реальні атаки з використанням даного методу раніше не виявлялися, а якщо і виявлялися, то дуже рідко.

Нагадаємо, Google планує вжити додаткових заходів для боротьби з шахрайськими розширеннями для Chrome. Так, Google планує видаляти розширення з веб-магазину Chrome, якщо вони порушують нові політики.

До речі, спільна команда дослідників з Віргінського політехнічного інституту, аналітичного центру RAND і компанії Cyentia Institute опублікувала результати цікавого дослідження, з’ясувавши, яка кількість уразливостей, виявлених за останній десяток років, насправді використовувалася у реальних атаках.

Окрім цього, незважаючи на безліч шахрайських схем – від нав’язливої реклами і до майнінгу криптовалют за Ваш рахунок – існує кілька простих порад, які вбережуть Ваш браузер і комп’ютер від зовнішніх загроз.

О, привіт 👋
Приємно познайомитися!

Підпишіться, щоб щотижня отримувати найцікавіші статті на свою поштову скриньку.

Ми не розсилаємо спам! Ознайомтеся з нашою політикою конфіденційності для отримання додаткової інформації.

ТЕМИ:
Поділитися
Попередня стаття placeholder Apple припинила випуск бюджетних пристроїв. Хто винен?
Наступна стаття placeholder Adobe виправила критичні недоліки у найпопулярніших продуктах

В тренді

Що таке грумінг в Інтернеті та як від нього вберегтися?
Що таке грумінг в Інтернеті та як від нього вберегтися?
Як приховати свій номер телефону в Telegram
Як приховати свій номер телефону в Telegram
eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
eSIM проти SIM: чи eSIM краща за фізичну SIM-карту?
Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)
Чим відрізняються бізнес-ноутбуки від споживчих (і які варто купувати?)
Чи працюватиме Linux на вашому старому ПК? Перевірте процесор
Чи працюватиме Linux на вашому старому ПК? Перевірте процесор

Рекомендуємо