Χάκερς με το όνομα “z0Miner“, πραγματοποιούν επιθέσεις σε Κορεατικούς διακομιστές WebLogic για τη διανομή malware, εργαλείων δικτύου και scripts για περαιτέρω επιθέσεις.
Δείτε επίσης: Κακόβουλα Google ads εξαπατούν τους χρήστες Mac να εγκαταστήσουν το Atomic Stealer malware
Αυτή η ομάδα έχει ιστορικό επιθέσεων κατά ευάλωτων διακομιστών όπως το Atlassian Confluence, το Apache ActiveMQ, το Log4j, και πολλοί άλλοι.
Το 2020, ερευνητές στην Tencent εντόπισαν για πρώτη φορά αυτόν τον απειλητικό παράγοντα. Η ομάδα malware “z0miner” είναι γνωστή για την εκμετάλλευση των CVE-2020-14882 και CVE-2020-14883 εναντίον των διακομιστών Oracle WebLogic.
Σύμφωνα με τους ερευνητές του ASEC, οι πιο πρόσφατοι στόχοι τους ήταν οι κορεατικοί διακομιστές WebLogic, ενώ εντοπίστηκαν αρκετά ίχνη εργαλείων όπως το FRP (Fast Reverse Proxy), το NetCat και το AnyDesk.
Σύμφωνα με αναφορές που κοινοποιήθηκαν στο Cyber Security News, η ομάδα malware z0miner εκμεταλλεύτηκε αυτούς τους Κορεατικούς διακομιστές WebLogic λόγω ανεπαρκούς ρύθμισης ασφάλειας και της ευρείας έκθεσης πληροφοριών του διακομιστή.
Ο κακόβουλος εισβολέας θα μπορούσε να ανακαλύψει τις εκδόσεις του Tomcat και του server αυτών των διακομιστών.
Αφού συλλέχθηκε αυτή η πληροφορία, οι απειλούμενοι φορείς χρησιμοποίησαν διάφορα εργαλεία, όπως το WebShell, το FRP και το NetCat, για να την εκμεταλλευτούν περαιτέρω.
Μέθοδοι εκμεττάλευσης
WebShell
Η ομάδα z0miner malware χρησιμοποίησε την ευπάθεια του WebLogic CVE-2020-14882 για να μεταφορτώσει ένα JSP webshell στο ευάλωτο σύστημα, ενεργοποιώντας τη μόνιμη παρουσία και έλεγχο στο σύστημα. Τρία webshells, όπως το JSP file Browser, το Shack2 και το Behinder, χρησιμοποιήθηκαν. Ακόμη, κανένα από αυτά τα webshells δεν ανιχνεύτηκε από προϊόντα antivirus λογισμικού.
Δείτε ακόμα: Τα “TicTacToe Dropper” χρησιμοποιούνται για τη διανομή malware
Fast Reverse Proxy (FRP)
Αυτό το εργαλείο χρησιμοποιήθηκε για την επικοινωνία πρωτοκόλλου RDP (Remote Desktop Protocol). Επιπλέον, χρησιμοποιήθηκαν τόσο η προεπιλεγμένη έκδοση frpc όσο και μια προσαρμοσμένη έκδοση. Το προεπιλεγμένο frpc φορτώνει ένα αρχείο ρυθμίσεων στη μορφή *.INI και επιχειρεί τη σύνδεση, ενώ το εξατομικευμένο frpc μπορεί να εκτελεστεί χωρίς τη χρήση ενός ξεχωριστού αρχείου.
NetCat
Το Netcat έχει τη δυνατότητα να διαβάζει και να γράφει δεδομένα μέσω σύνδεσης δικτύου και έχει εντοπιστεί σε πολλά webshells. Τα εργαλεία διαθέτουν μια λειτουργία απομακρυσμένου κελύφους, η οποία τους επιτρέπει να παρακάμψουν το τείχος προστασίας και να αναλάβουν τον έλεγχο του συστήματος στόχου.
Miner (XMRig)
Οι εκδόσεις του XMRig που χρησιμοποιεί η ομάδα z0miner malware είναι διαφορετικές για Windows και Linux. Στα Windows χρησιμοποιήθηκε το XMRig 6.18.0, ενώ για το Linux χρησιμοποιήθηκε το 6.18.1. Για να δημιουργήσει επιμονή με τον Miner, ο απειλούμενος χρήστης χρησιμοποίησε το Task Scheduler (schtasks) ή το φίλτρο συμβάντος του WMI και το ρύθμισε ώστε να διαβάζει ένα σενάριο PowerShell από μια συγκεκριμένη διεύθυνση στο Pastebin και να το εκτελεί.
Η ομάδα z0miner malware χρησιμοποίησε επίσης τη διεύθυνση του Πορτοφολιού και της Ομάδας Εξόρυξης Monero.
Επιπλέον, το AnyDesk ήταν ένα από τα εργαλεία που χρησιμοποίησε ο απειλητικός παράγοντας ως μέρος του webshell, αλλά χρησιμοποιήθηκε μόνο σε περιπτώσεις όπου εκμεταλλεύεται την ευπάθεια του Apache ActiveMQ (CVE-2023-46604).
Δείτε επίσης: Η πιθανή ύπαρξη κινεζικού malware σε συστήματα των ΗΠΑ αποτελεί «ωρολογιακή βόμβα»
Πώς μπορεί κάποιος να προστατευτεί από το malware;
Η προστασία από malware, όπως το z0miner, απαιτεί μια σειρά από προληπτικά μέτρα. Πρώτον, είναι σημαντικό να διατηρείτε το λειτουργικό σύστημα και όλα τα εγκατεστημένα προγράμματα ενημερωμένα. Δεύτερον, η χρήση αξιόπιστου λογισμικού antimalware είναι ζωτικής σημασίας. Αυτό το λογισμικό πρέπει να ενημερώνεται τακτικά, ώστε να μπορεί να αντιμετωπίσει τις πιο πρόσφατες απειλές. Τρίτον, η εκπαίδευση στην ασφάλεια του διαδικτύου είναι απαραίτητη. Τέλος, η χρήση δυνατών κωδικών πρόσβασης και η αλλαγή τους τακτικά μπορεί να βοηθήσει στην προστασία από το z0miner malware. Επίσης, η χρήση διπλού παράγοντα επαλήθευσης μπορεί να προσφέρει επιπλέον στρώμα ασφάλειας.
Πηγή: cybersecuritynews