Исследователи SANS Technology Institute и Morphus Labs сообщили об атаках на серверы Oracle WebLogic. В начале декабря 2017 года неизвестные злоумышленники начали устанавливать на скомпрометированные машины малварь для майнинга криптовалюты Monero и AEON, и уже успели заработать более 220 000 долларов.

Эксперты рассказывают, что атакующие используют для проникновения на серверы proof-of-concept эксплоит для уязвимости CVE-2017-10271, которую компания Oracle исправила два месяца тому назад. По мнению исследователей, выбор именно этой уязвимостей неслучаен. Дело в том, что эту брешь легко использовать удаленно, к тому же проблема позволяет выполнить на уязвимой машине произвольный код, а ее критичность оценивается в 9,8 баллов по десятибалльной шкале. Для проблемы доступны сразу несколько эксплоитов (12), но атакующие выбрали PoC, написанный китайским ИБ-экспертом, так как эта версия сразу оснащается IP-сканером для поиска уязвимых хостов.

Хотя все скомпрометированные серверы Oracle WebLogic принадлежат различным компаниям, злоумышленники не интересуются корпоративным шпионажем или конфиденциальными данными. Вместо установки на серверы компаний шифровальщика или хищения ценной информации, атакующие сделали выбор в пользу майнинга.

Исследователи обнаружили, что за атаками стоят как минимум две хакерские группы, одна из которых концентрируется на майнинге AEON, а другая на «добыче» Monero. Но если первая группировка заработала всего 6000 долларов, то их «коллеги» оказались более успешны – Monero принесла атакующим более 226 000 долларов.

Во время проведения расследования, специалистам удалось получить доступ к одному из управляющих серверов атакующих и изучить логи активности сканеров. Выяснилось, что злоумышленников в первую очередь интересуют установки WebLogic, расположенные в облаках Amazon, Digital Ocean, Google Cloud, Microsoft, Oracle Cloud и OVH.

3 комментария

  1. Themistocles

    12.01.2018 at 17:40

    Переезжайте в облака, говорили они…

    • FarSeerMellon

      14.01.2018 at 21:31

      С локальными компами/серверами не велика разница. 1с к примеру, половина чихов в интернет, вишенка — обновления перед сдачей отчетности. Кто будет выдергивать туда-сюда интернет? Да никто. Взломают если дырка найдется с таким же успехом если не большим. Тут пользователь с большей вероятностью не заметил даже излишнюю нагрузку а на локальных все бы колом встало.
      Я не защищаю облака, но это не тот случай где стоит их хаять. У нас в области электричество меньше рубля дома и ~3.50 юрикам, облако выходит дороже на 5 лет (речь об 1с с отчетностью на 1 пользователя).

  2. john_

    18.01.2018 at 03:17

    Другой способ монетизации придумали. И овцы целы и волки сыты.

Оставить мнение