Cybercriminelen installeren cryptominer op Oracle WebLogic servers

Kwaadwillenden hebben de afgelopen weken een bekende kwetsbaarheid in de Oracle WebLogic servers op Linux- en Windows-systemen misbruikt. Hierdoor raakten de servers geïnfecteerd met software om cryptovaluta te minen. Op deze manier werd 611 monero bemachtigd, wat destijds neerkwam op ongeveer 226.000 dollar (185.000 euro).

Het Incident Response (IR) team van Secureworks laat aan Techzine weten sinds 22 december benaderd te worden door een aantal organisaties. Zij houden zich onder andere bezig met het onderwijs, de productie, de overheid, de gezondheidszorg en IT. De partijen gaven aan dat de prestaties van bedrijfskritische en klantgerichte apps aanzienlijk verslechterden. Alle slachtoffers werden geïnfecteerd met cryptocurrency mining software die cybercriminelen via een bekende kwetsbaarheid (CVE-2017-10271) van Oracle WebLogic-servers wisten te installeren.

Eerder zagen we dat de SANS Institute melding maakte over deze activiteiten. De onderzoekers concludeerden dat ongeautoriseerde aanvallers van afstand commando’s konden uitvoeren met de rechten van een WebLogic server-gebruiker. Secureworks denkt naar aanleiding van de vele meldingen dat er wel eens veel organisaties getroffen kunnen zijn. Omdat het om een bekende kwetsbaarheid gaat, kwam Oracle vorig jaar al met een patch. Toch blijkt deze patch nog niet geïnstalleerd te zijn op iedere installatie.

Legale cryptominer

Er werd gebruikgemaakt van de miner xmrig. Dit is een legale miner voor monero en dus geen malware. Zo wisten de aanvallers de cryptomunten te bemachtigen. Het misbruiken van andermans apparaten voor het aanmaken van cryptovaluta komt vaker voor. Doordat dit veel rekenkracht vereist merken slachtoffers dit echter wel eens op wegens een trager systeem. Sommige security-experts denken dan ook dat deze vorm van cybercrime een niet al te groot probleem gaat worden. In een interview van Techzine met Avast werd dit duidelijk.

De aanvallen lijken wereldwijd verspreid te zijn. Hierdoor is het aannemelijk dat de eerste aanvallen waarschijnlijk geen specifieke doelwitten voor ogen hadden. De kwetsbaarheid zou aanwezig zijn in de versies 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0, 12.2.1.2.0 en 10.3.3.0.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.