فایرآی هشدار داد
بهره‌برداری از آسیب‌پذیری در WebLogic برای استخراج ارز مجازی
کد مطلب: 13775
تاریخ انتشار : چهارشنبه ۲ اسفند ۱۳۹۶ ساعت ۱۳:۰۰
 
به گزارش فایرآی یک آسیب‌پذیری در کارگزار WebLogic اوراکل برای توزیع بدافزار استخراج ارز مجازی بهره‌برداری می‌شود.
بهره‌برداری از آسیب‌پذیری در WebLogic برای استخراج ارز مجازی
 
 
Share/Save/Bookmark
به گزارش فایرآی یک آسیب‌پذیری در کارگزار WebLogic اوراکل برای توزیع بدافزار استخراج ارز مجازی بهره‌برداری می‌شود.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، فایرآی گزارش می‌دهد که عاملان تهدید از یک آسیب‌پذیری کارگزار WebLogic اوراکل که به‌تازگی وصله شده‌است، بهره‌برداری می‌کنند تا سامانه‌ها را با بدافزار استخراج ارز مجازی آلوده کنند.

این آسیب‌پذیری که با شناسه‌ CVE-۲۰۱۷-۱۰۲۷۱ شناسایی می‌شود در خدمات امنیتی کارگزار (WebLogic (WLS Security نسخه‌ ۱۲٫۲٫۱٫۲٫۰ و نسخه‌های قدیمی‌تر کارگزار WebLogic اوراکل وجود دارد و توسط اوراکل در به‌روزرسانی وصله‌ بحرانی (CPU) ماه اکتبر سال ۲۰۱۷ میلادی رفع شده‌است.

پژوهشگران فایرآی می‌گویند، پس از آنکه بهره‌برداری کد اثبات مفهومی از این اشکال در ماه دسامبر به‌صورت عمومی منتشر شد، حجم فعالیت‌های مربوط به بهره‌برداری از این آسیب‌پذیری افزایش یافت. بهره‌برداری‌های موفقیت‌آمیز از این آسیب‌پذیری در سامانه‌های وصله‌نشده به مهاجمان این امکان را می‌دهد که کد دلخواه را به صورت از راه دور اجرا کنند.

فایرآی گزارش داد: «ما شواهدی در دست داریم که بیانگر این است که برخی سازمان‌های موجود در چند کشور مختلف، ازجمله آمریکا، استرالیا، هنگ‌کنگ، انگلستان، هند، مالزی و اسپانیا تحت‌تاثیر این فعالیت‌ها قرار گرفته‌اند.»

اخیراً بازار ارز مجازی توسعه یافته و مجرمان سایبری از تلاش‌های خود برای استفاده از این بازار هیچ واهمه‌ای ندارند. با این حال، عاملانی که در عملیات استخراج ارز مجازی شرکت دارند، معمولاً سازمان‌های خاصی را هدف قرار نمی‌دهند، بلکه حملاتی راه‌اندازی می‌کنند که فرصت‌طلبانه هستند.

پژوهشگران کشف کردند که مهاجمان از آسیب‌پذیری CVE-۲۰۱۷-۱۰۲۷۱ سوء‌استفاده می‌کنند تا سامانه‌های مورد هدف را با بدافزارهای استخراج ارز مجازی آلوده کنند که از روش‌های مختلفی برای دست‌یابی به هدف خود استفاده می‌کنند. برخی از این حوادث، به عنوان مثال، استفاده از پاورشل برای توزیع بدافزار استخراج ارز مجازی در سامانه‌ قربانی و استفاده از ()ShellExecute برای اجرا هستند.

در سایر حملات به جای بارگیری پرونده‌ اجرایی به‌طور مستقیم برای انتقال بدافزار استخراج ارز مجازی از اسکریپت‌های پاورشل استفاده‌می‌شود. علاوه‌بر بارگیری بدافزار استخراج ارز مجازی، این اسکریپت تلاش می‌کند تا از طریق وظایف برنامه‌ریزی‌شده به پایداری برسد.

این اسکریپت، علاوه‌بر اینکه قادر است با کلید کیف پول به مخزن استخراج متصل شود، وظایف ایجاد شده توسط سایر بدافزارهای استخراج ارز مجازی را حذف می‌کند و فرایندهای مربوط به آن برنامه‌ها را پایان می‌دهد. همچنین استفاده از پردازنده را نیز محدود می‌کند.

روش‌هایی که در سایر حملات استفاده‌می‌شدند شامل استفاده از ابزارهایی مانند Mimikatz و EternalBlue برای حرکات جانبی در محیط‌های ویندوز بودند.

این بدافزار ابتدا تعیین می‌کند که سامانه ۳۲ بیتی است یا ۶۴ بیتی تا یک اسکریپت پاورشل مخصوص آن را از کارگزار فرمان و کنترل دریافت کند. سپس همه‌ آداپتورهای شبکه را بررسی می‌کند و تلاش می‌کند به هر سامانه‌ موجود در شبکه که از گواهی‌نامه‌های استخراج شده استفاده‌می‌کند متصل شود تا برای انتقال و اجرای بدافزار در سامانه‌ هدف یک پاورشل اجرا کند.

این بدافزار از WMI (ابزار مدیریت ویندوز) برای پایداری استفاده می‌کند و می‌تواند با استفاده از اطلاعات NTLM به دست آمده از Mimikatz حمله‌ای انجام دهد که این بدافزار را در دستگاه‌های راه دور بارگیری و اجرا کند. این بدافزار گواهی‌نامه‌های به سرقت رفته را با استفاده از یک درخواست HTTP GET به یک کارگزار راه دور ارسال می‌کند.

در صورتی که نتواند به طور عرضی حرکت کند، این بدافزار از پویش‌گر PingCastle MS۱۷-۰۱۰ استفاده می‌کند تا مشخص کند که هدف در برابر EternalBlue آسیب‌پذیر است یا خیر.

در مواردی که دستگاه‌های لینوکس مورد هدف قرار گرفته‌اند، این آسیب‌پذیری برای انتقال اسکریپت‌های شلی که عملکردهای مشابه اسکریپت‌های پاورشل دارند، مورد بهره‌برداری قرار گرفته‌است. آنها تلاش می‌کنند تا علاوه‌بر ایجاد یک وظیفه برای حفظ پایداری، بدافزارهای استخراج ارز مجازی که در حال اجرا هستند را ببندند و سپس بدافزار را بارگیری و اجرا کنند.

فایرآی می‌گوید: «استفاده از بدافزار استخراج ارز مجازی یک روش محبوب است که توسط مجرمان سایبری که انگیزه‌ مالی دارند، استفاده می‌شود تا از قربانیان کسب درآمد کنند. ما یک عامل تهدیدی را مشاهده کرده‌ایم که تقریباً هر روز ۱ XMR استخراج می‌کند، و این نشانگر سودآوری بالقوه و دلیل افزایش اخیر چنین حملاتی است.»

اگر چه در مقایسه با عملیات باج‌افزاری، ممکن است خطر آن کمتر باشد، اما بدافزار استخراج ارز مجازی خطرات مختلفی ایجاد می‌کند. سامانه‌هایی که با بدافزار استخراج ارز مجازی آلوده شده‌اند، ممکن است کاهش در عملکرد و سرعت را تجربه کنند، اما چنین حملاتی می‌توانند بدافزار دیگری را نیز در خود پنهان کنند.
مرجع : وب‌گاه اخبار امنیتی فن‌آوری اطلاعات و ارتباطات