Установка майнинговой малвари на серверы Oracle WebLogic принесла преступникам более 220 000 долларов

Исследователи SANS Technology Institute и Morphus Labs сообщили об атаках на серверы Oracle WebLogic. В начале декабря 2017 года неизвестные злоумышленники начали устанавливать на скомпрометированные машины малварь для майнинга криптовалюты Monero и AEON, и уже успели заработать более 220 000 долларов.

Эксперты рассказывают, что атакующие используют для проникновения на серверы proof-of-concept эксплоит для уязвимости CVE-2017-10271, которую компания Oracle исправила два месяца тому назад. По мнению исследователей, выбор именно этой уязвимостей неслучаен. Дело в том, что эту брешь легко использовать удаленно, к тому же проблема позволяет выполнить на уязвимой машине произвольный код, а ее критичность оценивается в 9,8 баллов по десятибалльной шкале. Для проблемы доступны сразу несколько эксплоитов (1, 2), но атакующие выбрали PoC, написанный китайским ИБ-экспертом, так как эта версия сразу оснащается IP-сканером для поиска уязвимых хостов.

Хотя все скомпрометированные серверы Oracle WebLogic принадлежат различным компаниям, злоумышленники не интересуются корпоративным шпионажем или конфиденциальными данными. Вместо установки на серверы компаний шифровальщика или хищения ценной информации, атакующие сделали выбор в пользу майнинга.

Исследователи обнаружили, что за атаками стоят как минимум две хакерские группы, одна из которых концентрируется на майнинге AEON, а другая на «добыче» Monero. Но если первая группировка заработала всего 6000 долларов, то их «коллеги» оказались более успешны – Monero принесла атакующим более 226 000 долларов.

Во время проведения расследования, специалистам удалось получить доступ к одному из управляющих серверов атакующих и изучить логи активности сканеров. Выяснилось, что злоумышленников в первую очередь интересуют установки WebLogic, расположенные в облаках Amazon, Digital Ocean, Google Cloud, Microsoft, Oracle Cloud и OVH.

Источник