Το πρόσφατα ανακαλυφθέν ελάττωμα CVE-2019-2725 στο Oracle WebLogic, το οποίο έλαβε ένα patch πριν λίγο καιρό, εξακολουθεί να χρησιμοποιείται σε καμπάνιες Cryptojacking, σύμφωνα με τους ερευνητές ασφαλείας της Trend Micro.
Πρόκειται για μία zero day ευπάθεια απομακρυσμένης εκτέλεσης εντολών, που επηρεάζει τα στοιχεία wls9_async και wls-wsat του Oracle Weblogic. Όλες οι εκδόσεις του Weblogic είναι ευάλωτες στην ευπάθεια, συμπεριλαμβανομένης της τελευταίας, που έχει ενεργοποιημένα τα wls9_async_response.war και wls-wsat.war.
Το σφάλμα θα μπορούσε να εκμεταλλευθεί από έναν hacker με την αποστολή ενός ειδικά τροποποιημένου αιτήματος HTTP.
Κι ενώ το ελάττωμα CVE-2019-2725 επιδιορθώθηκε στα τέλη Απριλίου, λίγες ημέρες αργότερα κακόβουλοι παράγοντες άρχισαν να χρησιμοποιούν την ευπάθεια του Oracle WebLogic Server για να διαδώσουν το ransomware Sodinokibi.
Οι εμπειρογνώμονες του Ινστιτούτου SANS ανέφεραν ότι το ελάττωμα εκμεταλλευόταν ήδη από τους hackers, προκειμένου να πραγματοποιούν εκστρατείες Cryptojacking.
Σύμφωνα με τους ειδικούς ασφαλείας της Trend Micro, το malware προκειμένου να παραμείνει κρυφό, αποκρύπτει τους κακόβουλους κώδικες του σε αρχεία πιστοποιητικών. Μόλις το malware εγκατασταθεί στο σύστημα αρχίζει να εκμεταλλεύεται το σφάλμα και ξεκινάει μία σειρά από αλυσιδωτές επιθέσεις.
Η επίθεση αρχίζει με ένα PowerShell που κατεβάζει ένα αρχείο πιστοποιητικού από τον server C2. Ο κακόβουλος κώδικας χρησιμοποιεί το εργαλείο CertUtil για να αποκωδικοποιήσει το αρχείο και στη συνέχεια να το εκτελέσει χρησιμοποιώντας το PowerShell. Στη συνέχεια, το αρχείο που λαμβάνετε διαγράφεται με cmd.
Το αρχείο πιστοποιητικού εμφανίζεται ως PEM (Privacy-Enhanced Mail).
Η εντολή στο αρχείο πιστοποιητικού χρησιμοποιείται από τους απατεώνες για τη λήψη και την εκτέλεση ενός άλλου PowerShell script στη μνήμη. Το script μεταφορτώνει και εκτελεί πολλαπλά αρχεία, όπως τα Sysupdate.exe (Monero miner), Config.json (αρχείο ρυθμίσεων για το Miner), Networkservice.exe (πιθανώς χρησιμοποιείται για την διάδοση και εκμετάλλευση του WebLogic), Update.ps1 (το PowerShell script για τη μνήμη), Sysguard .exe (watchdog για τη διαδικασία εξόρυξης) και Clean.bat (διαγράφει άλλα στοιχεία).
Οι ειδικοί διαπίστωσαν ότι το αρχείο update.ps1 που περιέχει το αποκωδικοποιημένο αρχείο πιστοποιητικών, αντικαθίσταται με το νέο update.ps1 και δημιουργείται μια προγραμματισμένη εργασία για να εκτελέσει το νέο script PowerShell κάθε 30 λεπτά.
Η πρακτικής απόκρυψη κακόβουλου κώδικα σε πιστοποιητικά προκειμένου να αποφευχθεί η ανίχνευσή του, δεν είναι κάτι καινούριο. Η Sophos ασχολήθηκε με μία τέτοια υπόθεση, σε μία δοκιμαστική επίδειξη πέρυσι.
