Une vulnérabilité identifiée dans Oracle WebLogic Server est exploitée pour miner de la crypto-monnaie

Vue d’ensemble :

La vulnérabilité référencée CVE-2017-10271, récemment corrigée par Oracle, est exploitée pour infecter des systèmes avec des logiciels malveillants afin de miner de la crypto-monnaie.
Cette vulnérabilité réside dans le composant WebLogic Server Security Service (WLS Security) d’Oracle WebLogic Server versions 12.2.1.2.0 et antérieures. Elle a été corrigée par Oracle dans la mise à jour critique des patchs d’octobre 2017 (CPU). Après que le code de preuve de concept exploitant le bogue ait été rendu public en décembre, l'activité associée à l'exploitation de cette vulnérabilité a augmenté en volume. L'exploitation réussie de la faille sur des systèmes vulnérables permet aux pirates d'exécuter à distance du code arbitraire. 
Des organisations situées dans divers pays ont été impactées par cette activité. Les États-Unis, l'Australie, la Chine, Royaume-Uni, l'Inde, la Malaisie et l'Espagne font partie des pays concernés.
Les attaquants qui ont exploité la CVE-2017-10271 pour infecter des systèmes ciblés avec des crypto-mineurs ont utilisé diverses tactiques pour atteindre leur objectif. Certaines attaques ont utilisé PowerShell pour déposer directement le mineur sur le système de la victime et utilisé ShellExecute pour l'exécution. 

Vecteur d’infection et propagation :

Le logiciel malveillant détermine d'abord si le système est en 32 bits ou en 64 bits pour extraire un script PowerShell spécifique du serveur de commande et de contrôle (C & C). Ensuite, il vérifie toutes les cartes réseau et tente de se connecter à tous les systèmes du réseau à l'aide d'informations d'identification extraites et exécute un script PowerShell pour supprimer et exécuter le programme malveillant sur le système ciblé. 
Le script supprime les tâches créées par d'autres crypto-mineurs et tue les processus associés à ces programmes.
Le malware utilise WMI (Windows Management Instrumentation) pour assurer sa persistance et peut effectuer une attaque « Pass-the-Hash »1 en utilisant les informations NTLM dérivées de Mimikatz pour télécharger et exécuter le malware sur des machines distantes. Si le déplacement échoue, le programme malveillant utilise le scanner « PingCastle MS17-010 » pour déterminer si la cible est vulnérable à EternalBlue. 
Dans les scénarios ciblant les machines Linux, la vulnérabilité est exploitée pour fournir des scripts shell qui incluent des fonctionnalités similaires à celles des scripts PowerShell. Ils essaient de tuer les crypto-mineurs en cours d'exécution, puis de télécharger et d'exécuter le malware, en plus de créer un job Cron pour maintenir la persistance. 

Recommandations :

Les logiciels malveillants d'extraction de crypto-monnaie sont distribués en utilisant diverses tactiques, généralement de manière opportuniste et indiscriminée afin que les cybercriminels maximisent leur portée et leurs profits. Pour se protéger face à ce type d’attaques, il est recommandé d’adopter une politique de défense en profondeur. Aussi, il est conseillé d’opter pour les mécanismes de sécurité analysant le comportement.

1Pass-the-Hash : Une attaque permettant de s'authentifier en utilisant le hash du mot de passe au lieu du mot de passe en clair.