近日,研究人员分析了一次入侵,其中黑客利用WebLogic远程代码执行漏洞 (CVE-2020–14882) 获得了对系统的初始访问权限,然后按住XMRig挖矿程序。在这次攻击中,攻击者从初始访问到运行一个XMRig矿机大约需要2分钟。该漏洞针对目标运行的速度和次数表明这很可能不是人为操作的入侵,而是自动攻击。
攻击者通过向 WebLogic 服务器发出请求来利用 CVE-2020-14882,从而允许攻击者执行代码。然后,负载运行 PowerShell 命令以从远程服务器下载 PowerShell 脚本。有效负载运行PowerShell命令从远程服务器下载一个PowerShell脚本。这个脚本下载并执行一个加载器,然后启用了持久性机制。接下来,加载程序下载了XMRig,并启动挖矿过程。攻击链如下图:
研究人员发现脚本的名称被随机化,以避免被检测到。并且攻击者禁用了防火墙规则以确保与矿池的稳定连接。另外,研究人员还发现了几个从 PowerShell 脚本执行的本地发现命令,这些命令寻找机器上现有的挖矿进程。黑客还利用netstat来查找是否有正在使用挖矿相关端口的进程。
虽然该攻击事件发生在大约一个月前,但目前为止入侵中使用的有效负载仍在托管中,这表明该威胁依旧活跃,并在寻找脆弱的WebLogic主机继续加以利用。
(每日更新整理国内外威胁情报快讯,帮助威胁研究人员了解及时跟踪相关威胁事件)
安恒威胁情报中心:专注于提供威胁数据与分析服务
微信公众号:安恒威胁情报中心
声明:以上内容来源于网络,如有侵权请联系我们(123@shiyan.com)删除! |