Un gruppo di hacker ha realizzato oltre un milione di dollari in Monero, irrompendo nei server Oracle WebLogic e installando un miner di criptovaluta.
Gli attacchi sono in corso dall’inizio di dicembre 2017, secondo gli esperti del SANS Technology Institute e dei Morphus Labs.
Attacchi alimentati dal codice PoE CVE-2017-10271
Gli hacker hanno utilizzato il codice exploit proof-of-concept, trapelato di recente, per la vulnerabilità CVE-2017-10271 nei server Oracle WebLogic, che la stessa Oracle ha patchato due mesi prima come parte della Oracle Critical Patch Update (CPU) – ottobre 2017.
La vulnerabilità scelta dagli aggressori non è stata casuale, in quanto ha ottenuto un punteggio di gravità di 9,8 su 10, il che significa che è stato facile da sfruttare tramite Internet e ha permesso agli aggressori di eseguire codice dannoso sul server e prendere il controllo del computer della sottostante rete.
Diversi exploit sono disponibili online al momento della stesura di questo articolo, ma l’esperto di SANS Johannes B. Ullrich afferma che gli aggressori hanno scelto uno creato dal ricercatore di sicurezza cinese Lian Zhang perché includeva anche uno scanner IP che cercava host vulnerabili.
Gli hacker violano le reti aziendali ma non rubano nulla
Le vittime sono quasi tutte imprese, in quanto un application server Java EE, ha poca utilità al di fuori delle reti aziendali e Intranet.
Ciò che ha sorpreso Renato Marinho, ricercatore di Ullrich e Morphus Labs, è che nonostante l’utilizzo dell’exploit per ottenere pieno accesso alle reti aziendali, gli hacker hanno scelto solo di installare un miner di criptovaluta e non hanno tentato di rubare dati aziendali di alto valore, installare ransomware o trojan backdoor .
In alcuni casi, i due ricercatori hanno affermato che gli hacker hanno anche compromesso le installazioni di PeopleSoft, una piattaforma di gestione aziendale di alto livello che funziona su un’istanza WebLogic e che contiene grandi quantità di dati aziendali.
Nonostante ciò, gli hacker hanno scelto di criptare le criptovalute, sperando che nessuno notasse l’elevato utilizzo della CPU da parte del server.
Gli hacker hanno estratto AEON e Monero
Negli incidenti analizzati da Marinho e Ullrich, i due hanno identificato due gruppi. Uno che ha estratto per una moneta digitale chiamata AEON, e un altro che ha estratto il più famoso Monero. Mentre il gruppo AEON ha guadagnato circa $ 6.000, il gruppo Monero ha avuto molto più successo, estraendo almeno 611 Monero, o oltre $ 226.000.
Marinho e Ullrich hanno anche ottenuto l’accesso a uno dei server degli aggressori e hanno ottenuto un registro dell’attività dello scanner. I due affermano che gli hacker colpiscono principalmente istanze di WebLogic ospitate su infrastrutture cloud come Amazon, Digital Ocean, Google Cloud, Microsoft, Oracle Cloud o OVH.
Oltre ai risultati di Marinho e Ullrich, la ricercatrice giapponese di sicurezza Morihisa ha anche scritto sugli attacchi WebLogic.
