Support technique
Documentation
Connexion
Nous contacter
Des pirates exploitent les serveurs WebLogic et les API Docker d'Oracle pour miner des cryptomonnaies
Obanla Opeyemi
26 septembre 2022 - L'équipe d'experts de TuxCare
La société de cybersécurité Trend Micro a découvert une campagne de programmes malveillants dans laquelle les acteurs de la menace exploitent les vulnérabilités de sécurité du serveur Oracle WebLogic pour diffuser des programmes malveillants de minage de crypto-monnaies.
L'un des logiciels malveillants qui exploitent ces vulnérabilités est le logiciel malveillant Kinsing. Les opérateurs derrière le malware Kinsing sont connus pour rechercher des serveurs vulnérables afin de les coopter dans un botnet.
Pour la dernière tendance, les attaquants utilisent CVE-2020-14882, un bug d'exécution de code à distance RCE vieux de deux ans qui cible les serveurs non patchés pour prendre le contrôle du serveur et déposer des charges utiles malveillantes. La faille a un score de sévérité de 9,8.
Pour réussir à exploiter la vulnérabilité, les attaquants utilisent un script shell qui exécute diverses sections, notamment la suppression des journaux système /car/log/syslog, la désactivation des fonctions de sécurité et des agents de services en nuage d'Alibaba et de Tencent, et la mise à mort des processus d'exploitation minière concurrents.
Après avoir été déployé avec succès, le script shell télécharge le logiciel malveillant Kinsing à partir d'un serveur distant et prend des mesures pour assurer sa persistance.
Les chercheurs d'Aqua Security ont également identifié un autre groupe de cryptojacking appelé TeamTNT.
L'une des chaînes d'attaque de TeamTNT vise à craquer le chiffrement SECP256K1, et en cas de succès, elle pourrait permettre aux attaquants de calculer les clés de chaque portefeuille de cryptocurrency. La campagne vise à utiliser la puissance de calcul élevée mais illégale de ses cibles pour exécuter le solveur ECDLP et obtenir la clé.
Deux autres attaques menées par TeamTNT concernent l'exploitation de serveurs Redis exposés et d'API Docker mal configurées pour utiliser des mineurs de monnaie et des binaires Tsunami.
Selon les chercheurs, les comptes (alpineos et sandeep078) seraient utilisés pour diffuser une variété de charges utiles malveillantes telles que des rootkits, des kits d'exploitation Kubernetes, des voleurs d'identifiants, des mineurs de Monero XMRig, et même le malware Kinsing.
Par mesure de sécurité, il est recommandé aux entreprises de configurer l'API REST exposée avec TLS pour atténuer les attaques hostiles AiTM, ainsi que d'utiliser des magasins d'informations d'identification et des assistants pour héberger les données des utilisateurs.
Les sources de cette pièce comprennent un article dans TheHackerNews.
