Oracle Weblogic Sunucularını Kullanan Yeni Linux Kötü Amaçlı Yazılımı

   Eylül 15, 2024  Posted in CyberSecurityNews


Oracle Weblogic Sunucularını Kullanan Yeni Linux Kötü Amaçlı Yazılımı

Oracle WebLogic Server, öncelikli olarak Java EE ve Jakarta EE standartlarına dayalı kurumsal uygulamaları geliştirmek, dağıtmak ve yönetmek için tasarlanmış bir uygulama sunucusudur.

Güvenilir ve ölçeklenebilir bir ortam sağlayan Oracle Fusion Middleware’in kritik bir bileşeni olarak hizmet verir.

DÖRT

Aqua Nautilus araştırmacıları yakın zamanda “Hadooken” adı verilen yeni bir Linux kötü amaçlı yazılımının Oracle Weblogic sunucularını aktif olarak istismar ettiğini keşfetti.

Linux Kötü Amaçlı Yazılımı Weblogic Sunucularını İstismar Ediyor

Hadooken kötü amaçlı yazılımı, ilk erişim için zayıf yönetici kimlik bilgilerini kullanarak Oracle WebLogic sunucularını hedef alıyor.

İki temel bileşeni devreye sokar ve aşağıda bunların hepsinden bahsettik:

  • Bir kripto madencisi (MD5: 9bea7389b633c331e706995ed4b3999c)
  • Tsunami kötü amaçlı yazılımı (MD5: 8eef5aa6fa9859c71b55c1039f02d2e6)

Saldırı, /tmp gibi kalıcı olmayan dizinleri tercih ederek yükleri indirmek ve yürütmek için kabuk (‘c’) ve Python (‘y’) betiklerini kullanır.

Decoding Compliance: What CISOs Need to Know – Join Free Webinar

Cryptominer ‘/usr/bin/crondr’, ‘/usr/bin/bprofr’ ve ‘/mnt/-java’ olarak bırakılırken, Tsunami /tmp’de rastgele bir dosya adı kullanır.

Kalıcılık /etc/cron.conf dosyasında oluşturulan cron işleri aracılığıyla sağlanır./ değişen frekanslarda.

Saldırı akışı (Kaynak - Aquasec)
Saldırı akışı (Kaynak – Aquasec)

Yanal hareket için çeşitli dizinlerde SSH verilerini arar. Kötü amaçlı yazılım, base64 kodlaması, günlük temizleme ve işlem maskelemesi dahil olmak üzere kaçınma teknikleri kullanır.

İlişkili IP adresleri 89.185.85.102 ve 185.174.136.204, olası fidye yazılımı dağıtımına bağlantı veriyor (Mallox MD5: 4a12098c3799ce17d6d59df86ed1a5b6, RHOMBUS, NoEscape).

İlgili bir PowerShell betiği ‘b.ps1’ (MD5: c1897ea9457343bd8e73f98a1d85a38f) Mallox fidye yazılımını dağıtıyorbelirten çok platformlu bir saldırı stratejisi.

Bunun yanı sıra Shodan, yüzlerce açık yönetici konsolunun istismara açık olduğu 230 binden fazla internet bağlantılı WebLogic sunucusunu ortaya çıkarıyor.

Aşağıda MITRE ATT&CK çerçevesini sunuyoruz:

MITRE ATT&CK çerçevesi (Kaynak - Aquasec)
MITRE ATT&CK çerçevesi (Kaynak – Aquasec)

Azaltma

Aşağıda tüm hafifletme önlemlerinden bahsettik:

  • Dağıtımdan önce yanlış yapılandırmaları tespit etmek için her zaman IaC tarama araçlarını kullanın.
  • Bulut yapılandırmalarını risklere karşı taramak için CSPM araçlarını kullandığınızdan emin olun.
  • Kubernetes kümelerini yanlış yapılandırmalara karşı tarayın.
  • Konteyner görüntülerini ve Docker dosyalarını güvenli hale getirin.
  • Çalışma zamanı ortamlarını izleyin.

IOC’ler

IOC'ler (Kaynak - Aquasec)
IOC’ler (Kaynak – Aquasec)

Simulating Cyberattack Scenarios With All-in-One Cybersecurity Platform – Watch Free Webinar



Source link