技術支援
文件
登錄
聯繫我們
駭客利用Oracle WebLogic Servers和Docker API來挖掘加密貨幣
奧班拉·奧佩耶米
實施期間: 2022年9月26 日 - TuxCare專家團隊
網路安全公司趨勢科技發現了一個惡意軟體活動,其中威脅行為者利用Oracle WebLogic Server中的安全漏洞來提供加密貨幣挖掘惡意軟體。
利用這些漏洞的惡意軟體之一是 Kinsing 惡意軟體。Kinsing惡意軟體背後的運營商因尋找易受攻擊的伺服器將其納入殭屍網路而臭名昭著。
對於最新趨勢,攻擊者使用 CVE-2020-14882,這是一個兩年前的 RCE 遠端代碼執行錯誤,它針對未修補的伺服器來控制伺服器並丟棄惡意負載。該漏洞的嚴重性評分為 9.8。
為了成功利用該漏洞,攻擊者使用一個shell腳本來執行各個部分,包括刪除 /car/log/syslog 系統日誌、禁用阿裡巴巴和騰訊的安全功能和雲服務代理,以及殺死競爭的挖掘進程。
成功部署后,shell 腳本會從遠端伺服器下載 Kinsing 惡意軟體,並採取措施確保持久性。
Aqua Security的研究人員還發現了另一個名為TeamTNT的加密劫持組織。
TeamTNT的攻擊鏈之一旨在破解SECP256K1加密,如果成功,它可以允許攻擊者計算每個加密貨幣錢包的密鑰。該活動旨在利用其目標的高但非法計算能力來運行ECDLP求解器並獲取密鑰。
TeamTNT進行的另外兩次攻擊涉及利用暴露的Redis伺服器和錯誤配置的DockerAPI以使用硬幣礦工和海嘯二進位檔。
據研究人員稱,據報導,這些帳戶(alpinneos和sandeep078)被用來傳播各種惡意負載,如rootkit,Kubernetes漏洞利用工具包,憑據竊取者,XMRig Monero礦工,甚至Kinsing惡意軟體。
作為一項安全措施,建議公司使用 TLS 配置公開的 REST API,以緩解惡意 AiTM 攻擊,以及使用憑據存儲和説明程式來託管用戶數據。
這篇文章的來源包括一篇文章 駭客新聞.
