طبق گزارش ترندمیکرو، آسیبپذیری WebLogic اوراکل که بهتازگی وصله شده بود، در حملاتی که هدف آنها نصب برنامههای استخراج رمزارز در دستگاههای آسیبپذیر بود مورد بهرهبرداری قرار گرفت. این آسیبپذیری که با شناسهی CVE-2019-2725 ردیابی و بحرانی ارزیابی میشود، در اواخر ماه آوریل یک هفته پس از انتشار عمومی کد اثبات مفهومی و آغاز سوءاستفاده از آن در حملات وصله شد. این آسیبپذیری یک مسألهی deserialization است که امکان اجرای دستور غیرمجاز از راه دور را فراهم میکند.
مؤسسهی SANS در اواخر ماه آوریل هشدار داد که برخی از حملات آسیبپذیری موجود در برنامههای استخراج رمزارز را هدف قرار میدهند و درحالحاضر ترندمیکرو این حملات را تأیید و بیان میکند که تجزیه و تحلیلها نشان میدهد که از یک روش مبهمسازی استفاده شده و کد مخرب در فایلهای گواهینامه مخفی شده است.
هنگامیکه این بدافزار در دستگاه هدف اجرا شد، از آسیبپذیری CVE-2019-2725 بهمنظور اجرای یک دستور و مجموعهای از روالها بهرهبرداری میکند. ابتدا برای دانلود یک فایل گواهینامه از سرور دستور و کنترل از پاورشل استفاده میشود، سپس از ابزار قانونی CertUtil برای رمزگشایی فایل استفاده میشود و بااستفاده از پاورشل اجرا میشود. پس از آن فایل بارگیریشده بااستفاده از cmd حذف میشود. فایل گواهینامه مانند یک گواهینامه با فرمت Privacy-Enhanced Mail (PEM) به نظر میرسد، اما در حقیقت در قالب یک دستور پاورشل است.
پژوهشگران امنیتی ترندمیکرو بیان میکنند که این احتمال وجود دارد که فایل گواهینامهای که آنها بارگیری کردهاند با فایلی که قرار است با دستور راه دور بارگیری شود، متفاوت باشد، زیرا این فایل بهطور مداوم توسط عاملان تهدید بهروزرسانی میشود.
زمانیکه دستور موجود در فایل گواهینامه اجرا شد، یک اسکریپت پاورشل دیگری را در حافظه بارگیری و اجرا میکند. سپس این اسکریپت فایلهای متعددی ازجمله Sysupdate.exe (برنامهی استخراج رمزارز)، Config.json (فایل پیکربندی برای برنامهی استخراجکننده)، Update.ps1 (اسکریپت پاورشل در حافظه) را دانلود و اجرا میکند. سپس فایل Update.ps1 حاوی فایل گواهینامهی رمزگشاییشده، با Update.ps1 جدید جایگزین میشود و یک وظیفهی برنامهریزیشده ایجاد میشود تا اسکریپت پاورشل جدید را هر ۳۰ دقیقه یک بار اجرا کند. استفاده از فایلهای گواهینامه برای مبهمسازی بدافزار این امکان را به مهاجمان میدهد تا از شناسایی خود جلوگیری کنند، اما حملاتی که از آن استفاده میکنند تاکنون دیده نشده و یا بسیار کم دیده شدهاند. پژوهشگران امنیتی نتیجهگیری میکنند که بااینحال، پس از اجرای دستور PS فایل گواهینامهی رمزگشاییشده، سایر فایلهای مخرب بدون اینکه از طریق فرمت فایل گواهینامه مخفی شوند بارگیری میشوند. این مسأله نشان میدهد که درحالحاضر اثربخشی این روش مبهمسازی آزمایش میشود و درحال توسعه به انواع بدافزارهای دیگر است.
