Hujumchilar Oracle WebLogic’dagi yamalgan zaiflikdan faol foydalanmoqda.
Aniqlanishdan qochish uchun zararli kod raqamli sertifikat fayllarida yashiringan.
Oracle WebLogic-da yaqinda yamalgan zaiflik kiberjinoyatchilar tomonidan zaif serverlarga kriptovalyuta konchilari o’rnatish uchun faol foydalanilmoqda. Zaiflik, seriyani bekor qilish zaifligi (CVE-2019-2725) ruxsatsiz tajovuzkorga buyruqlarni masofadan bajarishga imkon beradi. Muammo birinchi marta shu yilning aprel oyida, kiberjinoyatchilar allaqachon unga qiziqish bildirgan paytda xabar qilingan edi. Oracle o’sha oyning oxirida zaiflikni tuzatdi, ammo Trend Micro ma’lumotlariga ko’ra, u hozirda hujumlarda faol foydalanilmoqda.
Tadqiqotchilarning fikriga ko’ra, tajovuzkorlar zaiflikdan foydalanib, buzilgan mashinalarda kriptovalyutani qazib olish dasturini o’rnatishadi. Aniqlanishdan qochish uchun ular zararli kodni raqamli sertifikat fayllarida yashirishadi.
Tizimda ishga tushirilgandan so’ng, zararli dastur buyruqlarni bajarish va bir qator vazifalarni bajarish uchun zaiflikdan foydalanadi. Birinchidan, sertifikat fayli PowerShell yordamida C&C serveridan yuklab olinadi va qonuniy CertUtil vositasi yordamida shifrdan chiqariladi. Ushbu fayl keyin PowerShell yordamida maqsadli tizimda bajariladi va cmd yordamida o’chiriladi.
Sertifikat oddiy Privacy-Enhanced Mail (PEM) sertifikatiga o’xshaydi, lekin u tanish X.509 TLS formati o’rniga PowerShell buyrug’i shaklida. Buyruqni qabul qilishdan oldin fayl ikki marta shifrlanishi kerak, bu odatiy emas, chunki ekspluatatsiya buyrug’i CertUtil-dan faqat bir marta foydalanadi.
Zararli kodni yashirish uchun sertifikat fayllaridan foydalanish g’oyasi yangilik emas. Biroq, bu usuldan foydalangan holda haqiqiy dunyo hujumlari ilgari aniqlanmagan va agar mavjud bo’lsa, ular juda kam uchraydi.
