Water Sigbin Oracle kihasználása
A Trend Micro jelentése szerint a Water Sigbin (8220 Gang) az Oracle WebLogic sebezhetőségét kihasználva egy kriptovaluta-bányász eszközt telepít egy PowerShell szkript segítségével. A kínai csoport új technikákat is alkalmazott tevékenységeinek elrejtésére, ami megnehezíti a támadások elleni védekezést.
Water Sigbin a CVE-2017-3506 és CVE-2023-21839 sebezhetőségeket használta ki egy kriptopénz-bányász eszköz telepítésére egy PowerShell szkript segítségével.
A Water Sigbin olyan obfuszkációs technikákat alkalmazott, mint az URL-ek hexadecimális kódolása és a 443-as porton keresztüli HTTP használata, ami lehetővé tette a lopakodó hasznos teher szállítását.
A PowerShell szkript és az abból származó batch-fájl összetett kódolást tartalmazott, környezeti változókat használva, hogy a látszólag jóindulatú szkriptkomponensekbe rosszindulatú kódot rejtsenek.
A csoport fájl nélküli végrehajtást hajtott végre a .NET tükrözési technikák alkalmazásával a PowerShell szkriptekben, ami lehetővé teszi, hogy a rosszindulatú kód kizárólag a memóriában fusson, elkerülve a lemezalapú észlelési mechanizmusokat.
A fenyegető szereplők eszközeinek, taktikáinak és eljárásainak (TTP-k) folyamatos fejlődése rávilágít arra, hogy a szervezeteknek ébernek kell maradniuk, és különböző kiberbiztonsági legjobb gyakorlatokat kell elfogadniuk, mint például a rendszeres javításkezelés, az alkalmazottak képzése és az incidensekre adott választervek.
Az amerikai Cybersecurity and Infrastructure Security Agency (CISA) sürgős figyelmeztetést adott ki az Oracle WebLogic Server-t érintő biztonsági hibával kapcsolatban. Ez a hiba, amely most bekerült az Ismert sebezhetőségek (Known Exploited Vulnerabilities, KEV) katalógusba, aktív kihasználás alatt áll.