Explotando vulnerabilidades del servidor para obtener ganancias con criptomonedas
Un grupo de expertos en seguridad ha iluminado las tácticas de la banda 8220, revelando sus esquemas de minería de criptomonedas que explotan vulnerabilidades en los servidores Oracle WebLogic. Trend Micro, una destacada firma de ciberseguridad, ha identificado el estilo operativo de una entidad a la que han apodado Water Sigbin. El grupo es conocido por aprovechar lagunas de seguridad específicas, incluyendo CVE-2017-3506, CVE-2017-10271 y la más reciente CVE-2023-21839, como vías para desplegar malware de minería.
El enfoque de Water Sigbin se caracteriza por el sigilo, ya que utilizan métodos sofisticados de ejecución sin archivos. Estos procesos involucran inyección de DLL reflexiva e inyección de procesos, lo que permite que el malware opere directamente en la memoria de la computadora, evitando los métodos de detección típicos que dependen de la presencia de archivos en el disco.
Inteligentes técnicas de disfraz y evasión
Una vez establecida una presencia en el servidor objetivo, Water Sigbin lanza un script de PowerShell para iniciar un proceso de ataque de múltiples fases, disfrazando inteligentemente sus acciones utilizando nombres de aplicaciones legítimas. La cadena de ataque continúa con el despliegue de un binario disfrazado que desencadena la ejecución de una DLL. Este agente intermedio, conocido como PureCrypter, tiene la tarea de recopilar información del sistema y configurar el minero de criptomonedas, mientras realiza esfuerzos para hacerlo invisible para el Antivirus Defender de Microsoft.
Las interacciones adicionales con un servidor de mando y control remoto permiten que el malware reciba instrucciones encriptadas que facilitan la recuperación y ejecución del componente de minería de criptomonedas. Este elemento de minería está hábilmente disfrazado como un programa genuino de Microsoft para evitar la detección.
Distribución de malware colateral por la banda 8220
En un giro interesante, el equipo QiAnXin XLab ha detectado recientemente una nueva herramienta desplegada por la misma banda, conocida como k4spreader, para distribuir una variedad de cargas maliciosas, incluyendo el botnet DDoS Tsunami y el minero PwnRig. Este malware multifuncional, aún en desarrollo, explota vulnerabilidades similares para propagarse, presumiendo características como auto-preservación, actualización y apagado de otros botnets competidores.
El continuo desarrollo y sofisticación de herramientas como k4spreader indican la amenaza continua que representan grupos como la banda 8220 para servidores y sistemas vulnerables en todo el mundo.
Comprendiendo los riesgos e impactos de los ataques a servidores WebLogic
Los servidores Oracle WebLogic son ampliamente utilizados para construir y desplegar aplicaciones empresariales. Las vulnerabilidades explotadas por Water Sigbin pueden permitir que un atacante ejecute código arbitrario de forma remota, lo que puede resultar en la toma completa del sistema, robo de datos, interrupción de servicios y, en este caso, minería de criptomonedas. Los atacantes a menudo buscan tales objetivos de alto valor porque poseen recursos computacionales significativos que pueden utilizarse para minar criptomonedas de manera efectiva.
La minería de criptomonedas, aunque parezca inofensiva en comparación con el robo o espionaje, puede ocasionar pérdidas financieras sustanciales para las organizaciones. Consume vastas cantidades de energía y poder computacional, lo que se traduce en costos operativos más altos. Además, la presencia de un minero puede degradar el rendimiento y la estabilidad de aplicaciones empresariales críticas.
Malware de minería de criptomonedas: un desafío persistente
Las preguntas más importantes asociadas con este tema incluyen:
– ¿Cómo pueden las organizaciones detectar y prevenir ataques de malware sin archivos?: La detección es desafiante debido a las técnicas de evasión del malware. Las soluciones incluyen mejorar los mecanismos de detección basados en el comportamiento y utilizar sistemas avanzados de protección contra amenazas que monitorean las actividades en la memoria.
– ¿Cuáles son las mejores prácticas para parchar y asegurar servidores WebLogic?: Aplicar regularmente los parches de seguridad proporcionados por Oracle y hacer cumplir controles de acceso estrictos pueden mitigar los riesgos. Las organizaciones también deben realizar auditorías rutinarias y monitorear el tráfico de red en busca de signos de intrusión.
– ¿Cuál es la importancia de utilizar métodos de inyección de DLL reflexiva e inyección de procesos?: Estas técnicas permiten al atacante ejecutar código malicioso en la memoria sin dejar rastros en el sistema de archivos, lo que hace que la detección y la forense sean más difíciles.
El desafío principal al enfrentarse a tales amenazas de seguridad radica en mantenerse al día con el ritmo al que se desarrollan nuevas vulnerabilidades y variantes de malware. Además, las organizaciones a menudo luchan por encontrar un equilibrio entre la continuidad operativa y el tiempo de inactividad necesario para aplicar parches y actualizaciones.
Ventajas y desventajas
Las ventajas de medidas de seguridad efectivas incluyen la protección de datos sensibles, el mantenimiento de la integridad del servidor y la prevención de la utilización de recursos no autorizados para la minería de criptomonedas. Sin embargo, medidas de seguridad estrictas pueden llevar a un aumento de la carga administrativa y podrían interrumpir servicios críticos si no se gestionan adecuadamente.
Si desea obtener más información sobre las perspectivas de ciberseguridad de Trend Micro, visite su sitio web en Trend Micro. Para información sobre las últimas advertencias de seguridad y parches para Oracle WebLogic Server, visite el sitio web oficial de Oracle en Oracle.
Las controversias pueden surgir del equilibrio entre mantenerse al día con los parches y la practicidad de hacerlo en entornos empresariales complejos donde los cambios pueden introducir nuevos problemas o tiempo de inactividad. A pesar de estos desafíos, la amenaza continua de ataques sofisticados hace imperativo que las organizaciones mantengan prácticas sólidas de ciberseguridad.
The source of the article is from the blog j6simracing.com.br