Oracle WebLogic Server güvenlik açıkları, bilgisayar korsanlarının iş verileri ve uygulamaları için kullanılan yetkisiz sistemlere erişmesine olanak tanır.
Bu, tehdit aktörlerinin harici programlar getirmesine ve sistem kontrolünü tamamlamasına, dolayısıyla yönetici ayrıcalıklarını üstlenmesine olanak tanıyabilir. Nihai sonuç, diğer şeylerin yanı sıra bilgi ihlali, hizmet reddi saldırıları veya kötü amaçlı yazılımların ağda yayılmasıdır.
Oracle WebLogic Sunucuları, kuruluşlarda yüksek değerli ve yaygın olarak uygulanan bir teknolojidir; bu da onları, maksimum etki ve parasal kazanç elde etmek isteyen tehdit aktörleri için cazip hedefler haline getirir.
Broadcom’daki siber güvenlik analistleri yakın zamanda 8220 çetesinin kripto madenciliğini dağıtmak için Oracle WebLogic sunucu kusurundan aktif olarak yararlandığını keşfetti.
8220 Çetesi Oracle WebLogic Sunucu Kusurundan Yararlanıyor
Temel olarak finansal kazanç odaklı yetenekli kodlayıcılardan oluşan, Çin’e bağlı bir tehdit grubu olan 8220 Çetesi, 2017’den bu yana oldukça istikrarlı bir şekilde faaliyet gösteriyor.
Bu örnek teşkil eden tehdit aktörü, karmaşık kötü amaçlı yazılımlar geliştiren ve güvenlik açıklarından yararlanan sektörleri içeren yüksek değerli varlıklara sızıyor.
Nihai hedeflerine (yasadışı mali kazançlar) sürekli olarak ulaşılması, yeni yöntemler ve tespit edilemeyen planlarla birleşerek dünyanın her yerindeki insanların dikkatini çekti ve savunma önlemlerinin seviyesini yükseltti.
Araştırmacılar, bu tehdit grubunun yasadışı olarak kripto para madenciliği yapmak için kötü amaçlı yazılım kullanmasıyla ünlü olduğunu söyledi. Ana odak noktası Linux sunucuları ve bulut tabanlı ortamlardır.
Grup, mevcut yazılım kusurlarından yararlanıyor ve ardından sistemleri istila etmek ve ara sıra bir duruş kazanmak için çeşitli yöntem, taktik ve prosedürleri (TTP’ler) izliyor.
Tam Veri İhlali Koruması mı arıyorsunuz? MSP’ler için Cynet’in Hepsi Bir Arada Siber Güvenlik Platformunu deneyin: Ücretsiz Demoyu Deneyin
Daha sonra hesaplama kaynaklarını gizlice kullanarak gizli kripto para birimi madenciliği projelerini gerçekleştirmek için yönlendiriyorlar.
Saldırganlar, son siber saldırılardan birinde bir kripto para madencisi eklemek için aşağıdaki güvenlik açıklarından yararlandı: –
Bunun gerçekleşmesi için tehdit aktörleri, sistem kaynaklarını kullanarak dijital para madenciliği yaparak, ele geçirilen makinelerde madencilik yazılımını gizlice kullanmalarına olanak tanıyan bir PowerShell betiği yazdı.
PowerShell’de yazılan komut dosyaları çok fazla kodlama kullanıyordu ve toplu iş dosyasında gerçek kodu daha da gizleyen bir kod bölümü vardı.
Saldırganlar, ortam değişkenlerinin kullanılması sayesinde güvenlik kuruluşlarının ve yazılımların kolaylıkla göremeyeceği veya tespit edemeyeceği kötü amaçlı işlemleri gizlemeyi başardılar.
Grubun kendi kendine yeten bulaşma stratejisi, tespit edilmekten kaçınmak için kötü amaçlı yazılım kodlarının çoğunu disk depolama kaynakları yerine doğrudan bellekte çalıştırmayı içeriyordu.
Get special offers from ANY.RUN Sandbox. Until May 31, get 6 months of free service or extra licenses. Sign up for free.