Sérülékeny Oracle WebLogic szerverek támadás alatt

A Trend Micro jelzése szerint elavult Oracle WebLogic szervereket támad a „8220 Gang” néven ismert kiberbűnözői csoport.

A támadásokhoz a kifejezetten kriptovaluta bányászására (cryptojacking) szakosodott csoport egy hat éve patchelt biztonsági rést használ ki. Célpontjaik közé azok a rosszul konfigurált vagy sebezhető hosztok tartoznak, amelyek a nyílt interneten elérhetőek.

A Trend Micro információi szerint a 8220 Gang legutóbb egy Oracle WebLogic Server sebezhetőséget célzott meg, amihez valójában 2017 áprilisa óta elérhető biztonsági hibajavítás (lásd: alábbi sérülékenység leírás).

A elemzések szerint a csoport szokásos malware arzenálja mellett (például: PureCrypter nevű downloadrer, vagy a biztonsági szoftverek, vírusírtók megkerülésére szolgáló ScrubCrypt) nehezen detektálható, ún. Living-off-the-Land technikákat is bevetett, köztük PowerShell szkripteket és egy legitim Linux szolgáltatást (lwp-download).

Az lwp-donwload egy olyan Linux segédprogram, amely alapértelmezés szerint számos platformon jelen van, így a 8220 Gang ezt bármely rosszindulatú műveletéhez felhasználhatja.

A sérülékeny hosztok üzemeltetői számára javasoljuk az azonnali patchelést, illetve az lwp-download ellenei támadások detektálási képességének fejlesztését.

(thehackernews.com)

Vonatkozó sérülékenység leírás az NBSZ NKI weboldalán:

CVE-2017-3506

Fertőzésre utaló indikátorok (Indicators of Compromise – IOCs)

URL-ek és IP-k:

  • http[:]//79[.]137[.]203[.]156/Ebvjmba.dat
  • http[:]//185[.]17[.]0[.]19/bypass.ps1
  • http[:]//185[.]17[.]0[.]19/Nmfwg.png
  • 185[.]17[.]0[.]19
  • 194[.]38[.]23[.]170
  • 201[.]71[.]165[.]153
  • 179[.]43[.]155[.]202
  • Work[.]letmaker[.]top
  • su-94[.]letmaker[.]top

Forrás:
Trend Micro [trendmicro.com]