只针对Linux,甲骨文Weblogic服务器被黑客入侵
💡
原文中文,约1300字,阅读约需3分钟。
📝
内容提要
网络安全研究人员发现了一场针对Linux环境的新恶意软件活动,利用已知漏洞CVE-2020-14882攻击甲骨文Weblogic服务器,释放了名为Tsunami的恶意软件,并部署加密货币挖矿程序。攻击链利用安全漏洞和配置错误,通过两个有效载荷从远程服务器检索Hadooken恶意软件。恶意软件还负责建立持久性,攻击历史包括Jenkins和Weblogic服务。
🎯
关键要点
- 网络安全研究人员发现针对Linux环境的新恶意软件活动,目标是非法加密货币挖矿和传播僵尸网络恶意软件。
- 该活动特别针对甲骨文Weblogic服务器,利用已知漏洞CVE-2020-14882进行攻击。
- 恶意软件名为Hadooken,释放后会部署名为Tsunami的加密货币挖矿程序。
- 攻击链利用安全漏洞和配置错误,通过两个有效载荷从远程服务器检索Hadooken恶意软件。
- Hadooken恶意软件内置加密货币挖矿程序和DDoS僵尸网络Tsunami,针对Jenkins和Weblogic服务。
- 恶意软件通过创建cron作业来建立持久性,定期运行加密货币挖矿程序。
- 相关IP地址89.185.85[.]102和185.174.136[.]204与Aeza International LTD和Aeza Group Ltd.有关。
- Aeza是一家防弹托管服务提供商,提供庇护给网络犯罪活动。
❓
延伸问答
甲骨文Weblogic服务器是如何被攻击的?
攻击者利用了CVE-2020-14882漏洞,获得了对Weblogic服务器的未经授权访问,并执行任意代码。
Hadooken恶意软件的主要功能是什么?
Hadooken恶意软件内置了加密货币挖矿程序和DDoS僵尸网络Tsunami,旨在进行非法加密货币挖矿和传播恶意软件。
攻击者是如何在目标系统中建立持久性的?
恶意软件通过创建cron作业定期运行加密货币挖矿程序,从而在主机上建立持久性。
此次恶意软件活动的目标是什么?
此次活动的目标是进行非法加密货币挖矿和传播僵尸网络恶意软件。
与此次攻击相关的IP地址有哪些?
相关的IP地址包括89.185.85[.]102和185.174.136[.]204,分别与Aeza International LTD和Aeza Group Ltd.有关。
Aeza是什么样的公司?
Aeza是一家防弹托管服务提供商,为网络犯罪活动提供庇护,业务遍及莫斯科和法兰克福。
➡️
