Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Hacker nutzen Oracle WebLogic Server und Docker APIs zum Schürfen von Kryptowährungen aus
26. September 2022. TuxCare PR Team
Das Cybersicherheitsunternehmen Trend Micro hat eine Malware-Kampagne aufgedeckt, bei der Bedrohungsakteure Sicherheitsschwachstellen im Oracle WebLogic Server ausnutzen, um Malware zum Schürfen von Kryptowährungen zu verbreiten.
Eine der Malware, die diese Schwachstellen ausnutzt, ist die Kinsing-Malware. Die Betreiber der Kinsing-Malware sind dafür bekannt, dass sie nach anfälligen Servern suchen, um sie in ein Botnetz einzubinden.
Für den neuesten Trend nutzen die Angreifer CVE-2020-14882, einen zwei Jahre alten RCE-Fehler zur Remotecodeausführung, der auf ungepatchte Server abzielt, um die Kontrolle über den Server zu erlangen und bösartige Nutzdaten abzulegen. Die Schwachstelle hat einen Schweregrad von 9,8.
Um die Schwachstelle erfolgreich auszunutzen, verwenden die Angreifer ein Shell-Skript, das verschiedene Sektionen durchführt, darunter das Entfernen der Systemprotokolle /car/log/syslog, das Deaktivieren von Sicherheitsfunktionen und Cloud-Service-Agenten von Alibaba und Tencent sowie das Beenden konkurrierender Mining-Prozesse.
Nach erfolgreicher Bereitstellung lädt das Shell-Skript die Kinsing-Malware von einem entfernten Server herunter und sorgt für deren Fortbestand.
Die Forscher von Aqua Security haben außerdem eine weitere Kryptojacking-Gruppe namens TeamTNT identifiziert.
Eine der Angriffsketten von TeamTNT zielt darauf ab, die SECP256K1-Verschlüsselung zu knacken, und wenn sie erfolgreich ist, könnte sie es Angreifern ermöglichen, die Schlüssel für jede Kryptowährungs-Wallet zu berechnen. Die Kampagne zielt darauf ab, die hohe, aber illegale Rechenleistung ihrer Ziele zu nutzen, um den ECDLP-Löser auszuführen und den Schlüssel zu erhalten.
Zwei weitere Angriffe, die von TeamTNT durchgeführt wurden, beziehen sich auf die Ausnutzung von ungeschützten Redis-Servern und falsch konfigurierten Docker-APIs zur Verwendung von Coin-Minern und Tsunami-Binärprogrammen.
Den Forschern zufolge werden die Konten (alpineos und sandeep078) verwendet, um eine Vielzahl bösartiger Nutzdaten wie Rootkits, Kubernetes-Exploit-Kits, Credentials-Stealer, XMRig-Monero-Miner und sogar die Kinsing-Malware zu verbreiten.
Als Sicherheitsmaßnahme wird Unternehmen empfohlen, die exponierte REST-API mit TLS zu konfigurieren, um feindliche AiTM-Angriffe abzuschwächen, sowie Anmeldeinformationen zu speichern und Helfer zu verwenden, um Benutzerdaten zu hosten.
Die Quellen für diesen Artikel sind unter anderem ein Artikel in TheHackerNews.
