به گزارش فایرآی یک آسیبپذیری در کارگزار WebLogic اوراکل برای توزیع بدافزار استخراج ارز مجازی بهرهبرداری میشود.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، فایرآی گزارش میدهد که عاملان تهدید از یک آسیبپذیری کارگزار WebLogic اوراکل که بهتازگی وصله شدهاست، بهرهبرداری میکنند تا سامانهها را با بدافزار استخراج ارز مجازی آلوده کنند.
این آسیبپذیری که با شناسه CVE-۲۰۱۷-۱۰۲۷۱ شناسایی میشود در خدمات امنیتی کارگزار (WebLogic (WLS Security نسخه ۱۲٫۲٫۱٫۲٫۰ و نسخههای قدیمیتر کارگزار WebLogic اوراکل وجود دارد و توسط اوراکل در بهروزرسانی وصله بحرانی (CPU) ماه اکتبر سال ۲۰۱۷ میلادی رفع شدهاست.
پژوهشگران فایرآی میگویند، پس از آنکه بهرهبرداری کد اثبات مفهومی از این اشکال در ماه دسامبر بهصورت عمومی منتشر شد، حجم فعالیتهای مربوط به بهرهبرداری از این آسیبپذیری افزایش یافت. بهرهبرداریهای موفقیتآمیز از این آسیبپذیری در سامانههای وصلهنشده به مهاجمان این امکان را میدهد که کد دلخواه را به صورت از راه دور اجرا کنند.
فایرآی گزارش داد: «ما شواهدی در دست داریم که بیانگر این است که برخی سازمانهای موجود در چند کشور مختلف، ازجمله آمریکا، استرالیا، هنگکنگ، انگلستان، هند، مالزی و اسپانیا تحتتاثیر این فعالیتها قرار گرفتهاند.»
اخیراً بازار ارز مجازی توسعه یافته و مجرمان سایبری از تلاشهای خود برای استفاده از این بازار هیچ واهمهای ندارند. با این حال، عاملانی که در عملیات استخراج ارز مجازی شرکت دارند، معمولاً سازمانهای خاصی را هدف قرار نمیدهند، بلکه حملاتی راهاندازی میکنند که فرصتطلبانه هستند.
پژوهشگران کشف کردند که مهاجمان از آسیبپذیری CVE-۲۰۱۷-۱۰۲۷۱ سوءاستفاده میکنند تا سامانههای مورد هدف را با بدافزارهای استخراج ارز مجازی آلوده کنند که از روشهای مختلفی برای دستیابی به هدف خود استفاده میکنند. برخی از این حوادث، به عنوان مثال، استفاده از پاورشل برای توزیع بدافزار استخراج ارز مجازی در سامانه قربانی و استفاده از ()ShellExecute برای اجرا هستند.
در سایر حملات به جای بارگیری پرونده اجرایی بهطور مستقیم برای انتقال بدافزار استخراج ارز مجازی از اسکریپتهای پاورشل استفادهمیشود. علاوهبر بارگیری بدافزار استخراج ارز مجازی، این اسکریپت تلاش میکند تا از طریق وظایف برنامهریزیشده به پایداری برسد.
این اسکریپت، علاوهبر اینکه قادر است با کلید کیف پول به مخزن استخراج متصل شود، وظایف ایجاد شده توسط سایر بدافزارهای استخراج ارز مجازی را حذف میکند و فرایندهای مربوط به آن برنامهها را پایان میدهد. همچنین استفاده از پردازنده را نیز محدود میکند.
روشهایی که در سایر حملات استفادهمیشدند شامل استفاده از ابزارهایی مانند Mimikatz و EternalBlue برای حرکات جانبی در محیطهای ویندوز بودند.
این بدافزار ابتدا تعیین میکند که سامانه ۳۲ بیتی است یا ۶۴ بیتی تا یک اسکریپت پاورشل مخصوص آن را از کارگزار فرمان و کنترل دریافت کند. سپس همه آداپتورهای شبکه را بررسی میکند و تلاش میکند به هر سامانه موجود در شبکه که از گواهینامههای استخراج شده استفادهمیکند متصل شود تا برای انتقال و اجرای بدافزار در سامانه هدف یک پاورشل اجرا کند.
این بدافزار از WMI (ابزار مدیریت ویندوز) برای پایداری استفاده میکند و میتواند با استفاده از اطلاعات NTLM به دست آمده از Mimikatz حملهای انجام دهد که این بدافزار را در دستگاههای راه دور بارگیری و اجرا کند. این بدافزار گواهینامههای به سرقت رفته را با استفاده از یک درخواست HTTP GET به یک کارگزار راه دور ارسال میکند.
در صورتی که نتواند به طور عرضی حرکت کند، این بدافزار از پویشگر PingCastle MS۱۷-۰۱۰ استفاده میکند تا مشخص کند که هدف در برابر EternalBlue آسیبپذیر است یا خیر.
در مواردی که دستگاههای لینوکس مورد هدف قرار گرفتهاند، این آسیبپذیری برای انتقال اسکریپتهای شلی که عملکردهای مشابه اسکریپتهای پاورشل دارند، مورد بهرهبرداری قرار گرفتهاست. آنها تلاش میکنند تا علاوهبر ایجاد یک وظیفه برای حفظ پایداری، بدافزارهای استخراج ارز مجازی که در حال اجرا هستند را ببندند و سپس بدافزار را بارگیری و اجرا کنند.
فایرآی میگوید: «استفاده از بدافزار استخراج ارز مجازی یک روش محبوب است که توسط مجرمان سایبری که انگیزه مالی دارند، استفاده میشود تا از قربانیان کسب درآمد کنند. ما یک عامل تهدیدی را مشاهده کردهایم که تقریباً هر روز ۱ XMR استخراج میکند، و این نشانگر سودآوری بالقوه و دلیل افزایش اخیر چنین حملاتی است.»
اگر چه در مقایسه با عملیات باجافزاری، ممکن است خطر آن کمتر باشد، اما بدافزار استخراج ارز مجازی خطرات مختلفی ایجاد میکند. سامانههایی که با بدافزار استخراج ارز مجازی آلوده شدهاند، ممکن است کاهش در عملکرد و سرعت را تجربه کنند، اما چنین حملاتی میتوانند بدافزار دیگری را نیز در خود پنهان کنند.