Хакеры взламывают серверы Oracle WebLogic Server с целью майнинга

image

Теги: Monero, криптовалюта, майнинг, взлом, сервер, Oracle WebLogic Server

Злоумышленники взламывают серверы через уже исправленную уязвимость CVE-2017-10271.

С середины прошлого года наблюдается стремительный рост кибератак майнеров криптовалюты. Добыча «цифровых» денег требует все больше вычислительных мощностей и электроэнергии, поэтому добытчики взламывают чужие серверы и устанавливают на них ПО для майнинга. По словам исследователей из компании Trend Micro, злоумышленники, в частности, нацелились на Oracle WebLogic Server, где устанавливают майнер криптовалюты Monero.

Хакеры взламывают серверы через уже исправленную уязвимость CVE-2017-10271, позволяющую удаленно выполнить код (код эксплоита все еще находится на стадии разработки, отмечают исследователи). После выполнения скрипт Coinminer_MALXMR[.]JL-PS загружает на скомпрометированную систему три файла – автозапускающийся компонент startup.cmd (детектируется продуктами Trend Micro как Coinminer_MALXMR.JL-BAT) и еще два майнинговых компонента для 64- и 32-разрядной версии Windows (Coinminer_TOOLXMR[.]JL-WIN64 и Coinminer_MALXMR[.]JLT-WIN32). В зависимости от версии атакуемой системы скрипт запускает один из них.

Вредоносное ПО для майнинга старается инфицировать как можно больше систем, поскольку добыча криптовалюты требует больших мощностей. Обнаруженная исследователями Trend Micro программа с ее двумя системами полезной нагрузки (для 64- и 32-разрядной версии Windows), способными автоматически запускаться каждый день, дает своим создателям возможность заразить больше машин и использовать их для майнинга.

Telegram Подписывайтесь на канал "SecurityLab" в Telegram, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.