網絡安全公司Trend Micro已經證實,攻擊者利用Oracle WebLogic服務器中的漏洞安裝monero(XMR)挖掘惡意軟件,同時使用證書文件作為混淆技巧。該消息在6月10日發布的趨勢科技博客文章中披露。
正如之前報導的那樣,隱形加密挖掘的形式也被稱為行業術語cryptojacking – 安裝惡意軟件的做法,該惡意軟件使用計算機的處理能力在未經所有者同意或知情的情況下挖掘加密貨幣。
根據趨勢科技的帖子,針對Oracle WebLogic漏洞(“CVE-2019-2725”)的安全補丁 – 據報導由反序列化錯誤引起 – 在今年春季早些時候在國家漏洞數據庫中發布。
但是,趨勢科技引用了SANS ISC InfoSec論壇上出現的報告,聲稱該漏洞已經被用於加密劫持目的,並確認其已經驗證並分析了這些指控。
該公司指出,已識別的攻擊部署了它所描述的“有趣的轉折” – 即“惡意軟件將其惡意代碼隱藏在證書文件中作為混淆策略”:
“使用證書文件來隱藏惡意軟件的想法不是一個新的[…]通過使用證書文件進行混淆,一個惡意軟件可能會逃避檢測,因為下載的文件是證書文件格式,被視為正常 – 特別是在建立HTTPS連接時。“
趨勢科技的分析首先要注意惡意軟件利用CVE-2019-2725執行PowerShell命令,提示從命令和控制服務器下載證書文件。
在繼續追踪其步驟和特徵(包括安裝XMR礦工有效載荷)後,Micro Trend注意到其當前部署中存在明顯的異常現象:
“[O]足夠,在從解碼的證書文件執行PS命令時,下載其他惡意文件而不通過前面提到的證書文件格式隱藏。這可能表明混淆方法目前正在測試其有效性,並將其擴展到其他日後掛起的惡意軟件變種。“
該帖最後向使用WebLogic Server的公司推薦使用安全補丁將其軟件更新到最新版本,以降低加密劫持的風險。
正如最近報導的那樣,趨勢科技在今年春天針對基於中國的系統的XMR加密攻擊中發現了一個重大上升,這個活動模仿早期使用混淆的PowerShell腳本來提供XMR挖掘惡意軟件的活動。
來源 : Cointelegraph.com
Telegram : https://t.me/blockchainsdaily
