最近,研究人员分析了一次入侵,黑客利用WebLogic远程代码执行漏洞(CVE-202014882)获得系统的初始访问权限,然后按住XMRig挖掘程序。在这种攻击中,攻击者从最初访问到运行XMRig矿机大约需要2分钟。漏洞针对目标运行的速度和次数表明,它很可能不是人为入侵,而是自动攻击。
攻击者通过向WebLogic server发出请求来利用CVE-2020-14882,从而允许攻击者执行代码。然后,加载运行PowerShell命令,从远程服务器下载PowerShell脚本。有效负载运行PowerShell命令从远程服务器下载PowerShell脚本。这个脚本下载并执行一个加载程序,然后启用持久性机制。接下来,加载程序下载XMRig并开始挖掘过程。攻击链如下:
研究人员发现,脚本的名字是随机的,以避免被发现。攻击者禁用了防火墙规则,以确保与矿池的稳定连接。此外,研究人员还发现了几个从PowerShell脚本执行的本地发现命令,这些命令在机器上搜索现有的挖掘过程。黑客还使用netstat来发现是否有进程正在使用与挖掘相关的端口。
虽然攻击发生在大约一个月前,但入侵中使用的有效负载至今仍在被管理,这表明威胁仍然活跃,它正在寻找易受攻击的WebLogic主机来继续利用它。
(每日更新和整理国内外威胁情报新闻,帮助威胁研究人员了解如何及时跟踪相关威胁事件)
安恒威胁情报中心:专注于提供威胁数据和分析服务。
微信官方账号:安恒威胁情报中心