Angreifer nutzen derzeit ein Leck in Oracles Applicationserver in Peoplesoft aus, das der Hersteller bereits im Oktober vergangenen Jahres behoben hatte. Doch werden bei diesen Angriffen vermutlich keine Daten gestohlen, sondern die Rechenleistung der Server genutzt um damit Kryptowährungen zu errechnen. In einem Fall waren die Angreifer in der Lage, insgesamt 611 Monero-Coins zu schürfen, die derzeit rund 226.000 Dollar wert sind.
Das SANS Technology Institute veröffentlicht den Bericht des Sicherheitsexperten Renato Marinho von Morphus Labs. In der weltweiten Hacking-Kampagne sind offenbar auch WebLogic-Server betroffen.
Im Dezember hatte der chinesische Sicherheitsforscher Lian Zhang ein Proof-of-Concetpt für das Oracle-Leck veröffentlicht. Nur kurze Zeit später begannen Hacker, die Schwachstellen in verschiedenen Regionen auszunutzen und kleinere Anwendungen für Cryptominer zu installieren. Als Infrastruktur nutzten die Angreifer vor allem Server, die auf GoDaddy, Thenix und Digital Ocean gehostet werden und die vermutlich ebenfalls von den Angreifern gekapert wurden.
MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.
Marinho beschreibt die Attacke folgendermaßen: Ein Angreifer muss dafür lediglich die Monero-Mining-Software „xmrig“ auf den angreifbaren WebLocig- und Peoplesoft-Rechnern installieren. Viele dieser Systeme laufen auf öffentlichen Cloud-Systemen wie Amazon Web Services. Aber auch auf anderen Systemen und auf Oracles eigenen Public Cloud Service wurden angegriffene Systeme entdeckt.
Der SANS-Forscher Johannes Ullrich erklärt in einer Analyse der Attacke: „Das ist keine gerichtete Attacke. Sobald das Exploit veröffentlicht wurde, konnte jeder mit grundlegenden Scripting-Kenntnissen ebenfalls die WebLogic/Peoplesoft-Server angreifen.“ Dafür wird ein Installer in Form eines einfachen Bash-Scripts auf den WebLogic-Servern gebracht. Es such andere Blockchain-Miners, die auf dem System möglicherweise schneller installiert wurden und beendet diese. Über einen CRON-Job wird dann das eigentliche Miner-Tool heruntergeladen und gestartet. Damit soll das Tool dann auf dem System bleiben.
Über den Exploit-Code können schnell angreifbare Systeme im Netz gefunden werden. Damit können die Angreifer schnell auf eine große Zahl verwundbarer Systeme zugreifen. Allerdings fallen diese Angriffe auch schnell auf. Das Tool, das den Cryptominer installiert, beendet auch Java-Prozesse auf dem Zielsystem, mit der Folge, dass der Application-Server herunter fährt.
Ullrich warnt aber Administratoren davor, die Systeme einfach mit dem Aufspielen eines Patches zu schützen. Vielmehr sei davon auszugehen, dass Hacker mit ausgefeilteren Methoden versucht haben, über die Lecks dauerhaft auf die Systeme zu kommen. Ein Weg sei es, dies über den CRON-Job zu erreichen. Doch gebe es zahlreiche andere Mittel und Wege, die deutlich schwieriger zu entdecken seien.
MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.
Die Gruppe agiert offenbar von Algerien aus. FunkSec verwischt zudem dir Grenzen zwischen Hacktivismus und…
Auch das vierte Quartal 2024 beschert den PC-Herstellern ein moderates Wachstum der Auslieferungen. 2025 soll…
Malware-by-Numbers-Kits und GenAI machen Cyber-Kriminellen das Leben leichter als jemals zuvor.
Betroffen sind alle Versionen von Office und Microsoft 365 unter Windows 10, inklusive Office 2024.…
Sie erlauben unter anderem das Einschleusen und Ausführen von Schadcode aus der Ferne. Chrome 132…
Check Point führt KI-Modell ein, um Zero Day-DLL-Bedrohungen abzuwehren / Missbrauch von DLL-Dateien beliebte Methode…