Ausnutzen von Server-Schwachstellen für Krypto-Gewinne
Eine Gruppe von Sicherheitsexperten hat die Taktiken der 8220-Bande beleuchtet und ihre Kryptowährungs-Mining-Schemas aufgedeckt, die Schwachstellen in Oracle WebLogic Servern ausnutzen. Trend Micro, ein bekanntes Cybersicherheitsunternehmen, hat den Betriebsstil einer Entität namens Water Sigbin identifiziert. Die Gruppe ist berüchtigt dafür, spezifische Sicherheitslücken wie CVE-2017-3506, CVE-2017-10271 und die neueren CVE-2023-21839 als Wege zur Bereitstellung von Mining-Malware zu nutzen.
Die Herangehensweise von Water Sigbin ist geprägt von Heimlichkeit, da sie ausgeklügelte dateilose Ausführungsmethoden einsetzen. Diese Prozesse umfassen DLL-Reflexion und Prozessinjektion, die es der Malware ermöglichen, direkt im Arbeitsspeicher des Computers zu arbeiten und typische Erkennungsmethoden zu umgehen, die auf dem Vorhandensein von Dateien auf der Festplatte beruhen.
Listige Maskierung und Ausweichtechniken
Nachdem Water Sigbin eine Präsenz auf dem angegriffenen Server etabliert hat, startet sie ein PowerShell-Skript, um einen mehrphasigen Angriffsprozess einzuleiten, der ihre Aktionen geschickt unter Verwendung von Namen legitimer Anwendungen tarnt. Die Angriffskette setzt sich fort mit der Bereitstellung einer getarnten Binärdatei, die die Ausführung einer DLL auslöst. Dieser Zwischenagent, bekannt als PureCrypter, ist sowohl damit beauftragt, Systeminformationen zu sammeln und den Krypto-Miner einzurichten, während er gleichzeitig daran arbeitet, diesen für Microsofts Defender-Antivirenprogramm unsichtbar zu machen.
Weitere Interaktionen mit einem Remote-Kommando- und Kontrollserver ermöglichen es der Malware, verschlüsselte Anweisungen zu empfangen, die die Abruf- und Ausführungskomponenten des Krypto-Miners erleichtern. Dieses Mining-Element tarnt sich geschickt als echtes Microsoft-Programm, um nicht erkannt zu werden.
Verteilung von Kollateral-Malware durch die 8220-Bande
In einer interessanten Wendung hat das QiAnXin XLab-Team kürzlich ein neues von derselben Bande eingesetztes Tool namens k4spreader entdeckt, um eine Reihe von böswilligen Nutzlasten zu verteilen, darunter das Tsunami-DDoS-Botnet und den PwnRig-Miner. Diese multifunktionale Malware, die sich noch in der Entwicklung befindet, nutzt ähnliche Schwachstellen, um sich selbst zu verbreiten, und bietet Funktionen wie Selbstschutz, Aktualisierung und das Ausschalten anderer konkurrierender Botnets.
Die fortlaufende Entwicklung und Raffinesse von Tools wie k4spreader weisen auf die fortlaufende Bedrohung durch Gruppen wie die 8220-Bande für gefährdete Server und Systeme weltweit hin.
Verständnis der Risiken und Auswirkungen von WebLogic-Server-Angriffen
Oracle WebLogic Server werden weitläufig zur Entwicklung und Bereitstellung von Unternehmensanwendungen genutzt. Die von Water Sigbin ausgenutzten Schwachstellen können es einem Angreifer ermöglichen, beliebigen Code remote auszuführen, was zu vollständiger Systemübernahme, Datenraub, Dienstunterbrechungen und in diesem Fall zum Krypto-Mining führen kann. Angreifer suchen oft nach solchen hochwertigen Zielen, da sie erhebliche Rechenressourcen besitzen, die effektiv für das Mining von Kryptowährungen genutzt werden können.
Das Krypto-Mining kann trotz seiner scheinbaren Harmlosigkeit im Vergleich zu Diebstahl oder Spionage erhebliche finanzielle Verluste für Organisationen verursachen. Es verbraucht große Mengen an Rechenleistung und Strom, was zu erhöhten Betriebskosten führt. Darüber hinaus kann die Anwesenheit eines Miners die Leistung und Stabilität wichtiger Geschäftsanwendungen beeinträchtigen.
Krypto-Mining-Malware: Eine anhaltende Herausforderung
Die wichtigsten Fragen zu diesem Thema sind:
– Wie können Organisationen dateilose Malware-Angriffe erkennen und verhindern?: Die Erkennung ist aufgrund der Ausweichtechniken der Malware herausfordernd. Lösungen umfassen die Verbesserung von verhaltensbasierten Erkennungsmechanismen und den Einsatz fortschrittlicher Bedrohungsschutzsysteme, die in-Memory-Aktivitäten überwachen.
– Was sind bewährte Verfahren zur Patchung und Sicherung von WebLogic-Servern?: Durch regelmäßiges Anwenden von von Oracle bereitgestellten Sicherheitspatches und die Durchsetzung strenger Zugriffskontrollen können die Risiken gemindert werden. Organisationen sollten auch regelmäßige Audits durchführen und den Netzwerkverkehr auf Anzeichen von Eindringlingen überwachen.
– Welche Bedeutung haben DLL-Reflexions- und Prozessinjektionsmethoden?: Diese Techniken ermöglichen es dem Angreifer, bösartigen Code im Speicher auszuführen, ohne Spuren auf dem Dateisystem zu hinterlassen, was die Erkennung und Forensik erschwert.
Die Hauptaufgabe bei der Bewältigung solcher Sicherheitsbedrohungen besteht darin, mit dem Tempo Schritt zu halten, mit dem neue Schwachstellen und Malware-Varianten entwickelt werden. Darüber hinaus kämpfen Organisationen oft mit dem Gleichgewicht zwischen Betriebskontinuität und der für das Anwenden von Patches und Updates erforderlichen Ausfallzeit.
Vor- und Nachteile
Vorteile effektiver Sicherheitsmaßnahmen sind der Schutz sensibler Daten, die Aufrechterhaltung der Serverintegrität und die Verhinderung unbefugter Ressourcennutzung für das Krypto-Mining. Allerdings können strenge Sicherheitsmaßnahmen zu erhöhtem administrativem Aufwand führen und im schlimmsten Fall kritische Dienste unterbrechen, wenn sie nicht ordnungsgemäß verwaltet werden.
Wenn Sie mehr über die Cybersicherheits-Einblicke von Trend Micro erfahren möchten, besuchen Sie deren Website unter Trend Micro. Für Informationen zu den neuesten Sicherheitswarnungen und Patches für den Oracle WebLogic Server besuchen Sie die offizielle Website von Oracle unter Oracle.
Kontroversen können aus dem Gleichgewicht zwischen dem Aufrechterhalten aktueller Patches und der Praktikabilität in komplexen Unternehmensumgebungen entstehen, in denen Änderungen neue Probleme oder Ausfallzeiten verursachen können. Trotz dieser Herausforderungen macht die fortwährende Bedrohung derart raffinierter Angriffe es unerlässlich, dass Organisationen strenge Cybersicherheitspraktiken beibehalten.
The source of the article is from the blog lisboatv.pt