Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Hackers explotan Oracle WebLogic Servers y Docker APIs para minar criptomonedas
Obanla Opeyemi
26 de septiembre de 2022 - Equipo de expertos TuxCare
La empresa de ciberseguridad Trend Micro ha descubierto una campaña de malware en la que los autores de la amenaza aprovechan las vulnerabilidades de seguridad de Oracle WebLogic Server para distribuir malware de minería de criptomoneda.
Uno de los programas maliciosos que aprovecha las vulnerabilidades es el malware Kinsing. Los operadores detrás del malware Kinsing son conocidos por buscar servidores vulnerables para cooptarlos en una red de bots.
Para la última tendencia, los atacantes utilizan CVE-2020-14882, un fallo de ejecución remota de código RCE de dos años de antigüedad que se dirige a servidores no parcheados para hacerse con el control del servidor y soltar cargas útiles maliciosas. El fallo tiene una puntuación de gravedad de 9,8.
Para explotar con éxito la vulnerabilidad, los atacantes utilizan un script de shell que realiza varias secciones, como eliminar los registros del sistema /car/log/syslog, desactivar las funciones de seguridad y los agentes de servicios en la nube de Alibaba y Tencent, y matar los procesos de minería de la competencia.
Una vez desplegado con éxito, el script de shell descarga el malware Kinsing desde un servidor remoto y toma medidas para garantizar su persistencia.
Los investigadores de Aqua Security también identificaron otro grupo de criptojacking llamado TeamTNT.
Una de las cadenas de ataque de TeamTNT pretende descifrar el cifrado SECP256K1 y, si lo consigue, podría permitir a los atacantes calcular las claves de cada monedero de criptomonedas. La campaña pretende utilizar la elevada pero ilegal potencia de cálculo de sus objetivos para ejecutar el solucionador ECDLP y obtener la clave.
Otros dos ataques llevados a cabo por TeamTNT están relacionados con la explotación de servidores Redis expuestos y API Docker mal configuradas para utilizar mineros de monedas y binarios Tsunami.
Según los investigadores, las cuentas (alpineos y sandeep078) se habrían utilizado para propagar diversas cargas maliciosas como rootkits, kits de exploits de Kubernetes, ladrones de credenciales, mineros de Monero XMRig e incluso el malware Kinsing.
Como medida de seguridad, se recomienda a las empresas configurar la API REST expuesta con TLS para mitigar los ataques hostiles AiTM, así como utilizar almacenes de credenciales y helpers para alojar los datos de los usuarios.
Las fuentes de este artículo incluyen un artículo en TheHackerNews.
