Cryptominer missbrauchen Leck im Oracle-App-Server – 226.000 Dollar Beute

Angreifer nutzen derzeit ein Leck in Oracles Applicationserver in Peoplesoft aus, das der Hersteller bereits im Oktober vergangenen Jahres behoben hatte. Doch werden bei diesen Angriffen vermutlich keine Daten gestohlen, sondern die Rechenleistung der Server genutzt um damit Kryptowährungen zu errechnen. In einem Fall waren die Angreifer in der Lage, insgesamt 611 Monero-Coins zu schürfen, die derzeit rund 226.000 Dollar wert sind.

Das SANS Technology Institute veröffentlicht den Bericht des Sicherheitsexperten Renato Marinho von Morphus Labs. In der weltweiten Hacking-Kampagne sind offenbar auch WebLogic-Server betroffen.

Im Dezember hatte der chinesische Sicherheitsforscher Lian Zhang ein Proof-of-Concetpt für das Oracle-Leck veröffentlicht. Nur kurze Zeit später begannen Hacker, die Schwachstellen in verschiedenen Regionen auszunutzen und kleinere Anwendungen für Cryptominer zu installieren. Als Infrastruktur nutzten die Angreifer vor allem Server, die auf GoDaddy, Thenix und Digital Ocean gehostet werden und die vermutlich ebenfalls von den Angreifern gekapert wurden.

HIGHLIGHT

Coinhive: So schützen Sie sich vor dem Cryptominer-Code

MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.

Marinho beschreibt die Attacke folgendermaßen: Ein Angreifer muss dafür lediglich die Monero-Mining-Software „xmrig“ auf den angreifbaren WebLocig- und Peoplesoft-Rechnern installieren. Viele dieser Systeme laufen auf öffentlichen Cloud-Systemen wie Amazon Web Services. Aber auch auf anderen Systemen und auf Oracles eigenen Public Cloud Service wurden angegriffene Systeme entdeckt.

Der SANS-Forscher Johannes Ullrich erklärt in einer Analyse der Attacke: „Das ist keine gerichtete Attacke. Sobald das Exploit veröffentlicht wurde, konnte jeder mit grundlegenden Scripting-Kenntnissen ebenfalls die WebLogic/Peoplesoft-Server angreifen.“ Dafür wird ein Installer in Form eines einfachen Bash-Scripts auf den WebLogic-Servern gebracht. Es such andere Blockchain-Miners, die auf dem System möglicherweise schneller installiert wurden und beendet diese. Über einen CRON-Job wird dann das eigentliche Miner-Tool heruntergeladen und gestartet. Damit soll das Tool dann auf dem System bleiben.

Über den Exploit-Code können schnell angreifbare Systeme im Netz gefunden werden. Damit können die Angreifer schnell auf eine große Zahl verwundbarer Systeme zugreifen. Allerdings fallen diese Angriffe auch schnell auf. Das Tool, das den Cryptominer installiert, beendet auch Java-Prozesse auf dem Zielsystem, mit der Folge, dass der Application-Server herunter fährt.

Ullrich warnt aber Administratoren davor, die Systeme einfach mit dem Aufspielen eines Patches zu schützen. Vielmehr sei davon auszugehen, dass Hacker mit ausgefeilteren Methoden versucht haben, über die Lecks dauerhaft auf die Systeme zu kommen. Ein Weg sei es, dies über den CRON-Job zu erreichen. Doch gebe es zahlreiche andere Mittel und Wege, die deutlich schwieriger zu entdecken seien.

HIGHLIGHT

Coinhive: So schützen Sie sich vor dem Cryptominer-Code

MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.

Martin Schindler

Recent Posts

Konsolidierte und strukturierte Daten für medizinische Versorgung

Telekom und vitagroup stellen Kliniken offene Plattform zur Verfügung, die Gesundheitsdaten unabhängig von einzelnen Herstellern…

21 Stunden ago

Zahl der Webauftritte sinkt wieder

Auch 2023 war kein gutes Jahr für die Hoster von KMU-Webseiten. Erneut schlossen viele Mittelständler…

21 Stunden ago

Pwn2Own: Google verteilt Sicherheitsupdate für Chrome

Es schließt zwei schwerwiegende Lücken, die eine Remotecodeausführung erlauben. Darüber hinaus stopft Google ein kritisches…

2 Tagen ago

IT-Verzicht fürs Klima – wie viele sind dazu bereit?

Der Digitalverband Bitkom hat 1.000 Deutsche danach befragt, auf welche Angebote sie aus Gründen des…

2 Tagen ago

BSI warnt Microsoft-Exchange-Nutzer

Laut Bundesamt sind mindestens 17.000 Instanzen in Deutschland durch eine oder mehrere kritische Schwachstellen verwundbar.

2 Tagen ago

Apple kündigt Entwicklerkonferenz WWDC 2024 für 10. Juni an

Die Veranstaltung startet wie in jedem Jahr mit einer Keynote. Apple verspricht Neuerungen für alle…

2 Tagen ago