Новые уловки хакеров для скрытого криптомайнинга

Новые уловки хакеров для скрытого криптомайнинга

Аналитическая компания Trend Micro обнаружила, что при установке криптоджекера для добычи Monero (XMR) мошенники используют уязвимость сервера Oracle WebLogic и файлы сертификатов (SSL) для обфускации.

По сообщению Trend Micro, в апреле в национальной базе данных по кибербезопасности была опубликована информация об уязвимости Oracle WebLogic (CVE-2019-2725), связанной с ошибкой  десериализации (структуризации). Позже на форуме SANS ISC InfoSec появилась информация о том, что эксплойт активно используется  для установки криптомайнеров.

Исследователи, подтвердив информацию, отметили интересную особенность: вредоносная программа скрывает свой код в файлах сертификатов в качестве способа запутывания (обфускации), что затрудняет обнаружение и анализ.

«Идея использования файлов сертификатов для сокрытия вредоносных программ не нова. В результате запутывания часть кода может избежать обнаружения, поскольку загруженный файл имеет формат SSL-файла, который нормально воспринимается системой безопасности, особенно при установлении HTTPS-соединений»,

– отмечается в отчете Trend Micro.

По сути, хакерская атака начинается с использования CVE-2019-2725 для выполнения команды PowerShell, которая запрашивает загрузку файла сертификата с сервера управления и контроля (C&C) и сохраняет его в специальной папке. Затем, с помощью компонента CertUtil системы управления сертификатами в Windows, выполняется декодирование файла в стандартный формат PEM.

В дальнейшем развертывании вредоносного ПО эксперты Micro Trend заметили явную аномалию.

«После выполнения команды PS из декодированного PEM-файла сертификата, другие вредоносные файлы загружаются в исходном виде. Это может указывать на то, что сейчас метод обфускации тестируется на эффективность и будет использоваться для других вариантов вредоносного ПО позже»,

– предполагают исследователи.

Компания порекомендовала фирмам, использующим WebLogic Server, обновить программное обеспечение до последней версии для снижения рисков.
Недавно Trend Micro обнаружил еще один опасный криптоджекер BlackSquid, который включает восемь эксплойтов и применяется для заражения веб-серверов, сетевых и внешних жестких дисков.

Оставьте свой комментарий