Cryptominer missbrauchen Leck im Oracle-App-Server – 226.000 Dollar Beute

Angreifer nutzen derzeit ein Leck in Oracles Applicationserver in Peoplesoft aus, das der Hersteller bereits im Oktober vergangenen Jahres behoben hatte. Doch werden bei diesen Angriffen vermutlich keine Daten gestohlen, sondern die Rechenleistung der Server genutzt um damit Kryptowährungen zu errechnen. In einem Fall waren die Angreifer in der Lage, insgesamt 611 Monero-Coins zu schürfen, die derzeit rund 226.000 Dollar wert sind.

Das SANS Technology Institute veröffentlicht den Bericht des Sicherheitsexperten Renato Marinho von Morphus Labs. In der weltweiten Hacking-Kampagne sind offenbar auch WebLogic-Server betroffen.

Im Dezember hatte der chinesische Sicherheitsforscher Lian Zhang ein Proof-of-Concetpt für das Oracle-Leck veröffentlicht. Nur kurze Zeit später begannen Hacker, die Schwachstellen in verschiedenen Regionen auszunutzen und kleinere Anwendungen für Cryptominer zu installieren. Als Infrastruktur nutzten die Angreifer vor allem Server, die auf GoDaddy, Thenix und Digital Ocean gehostet werden und die vermutlich ebenfalls von den Angreifern gekapert wurden.

HIGHLIGHT

Coinhive: So schützen Sie sich vor dem Cryptominer-Code

MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.

Marinho beschreibt die Attacke folgendermaßen: Ein Angreifer muss dafür lediglich die Monero-Mining-Software „xmrig“ auf den angreifbaren WebLocig- und Peoplesoft-Rechnern installieren. Viele dieser Systeme laufen auf öffentlichen Cloud-Systemen wie Amazon Web Services. Aber auch auf anderen Systemen und auf Oracles eigenen Public Cloud Service wurden angegriffene Systeme entdeckt.

Der SANS-Forscher Johannes Ullrich erklärt in einer Analyse der Attacke: „Das ist keine gerichtete Attacke. Sobald das Exploit veröffentlicht wurde, konnte jeder mit grundlegenden Scripting-Kenntnissen ebenfalls die WebLogic/Peoplesoft-Server angreifen.“ Dafür wird ein Installer in Form eines einfachen Bash-Scripts auf den WebLogic-Servern gebracht. Es such andere Blockchain-Miners, die auf dem System möglicherweise schneller installiert wurden und beendet diese. Über einen CRON-Job wird dann das eigentliche Miner-Tool heruntergeladen und gestartet. Damit soll das Tool dann auf dem System bleiben.

Über den Exploit-Code können schnell angreifbare Systeme im Netz gefunden werden. Damit können die Angreifer schnell auf eine große Zahl verwundbarer Systeme zugreifen. Allerdings fallen diese Angriffe auch schnell auf. Das Tool, das den Cryptominer installiert, beendet auch Java-Prozesse auf dem Zielsystem, mit der Folge, dass der Application-Server herunter fährt.

Ullrich warnt aber Administratoren davor, die Systeme einfach mit dem Aufspielen eines Patches zu schützen. Vielmehr sei davon auszugehen, dass Hacker mit ausgefeilteren Methoden versucht haben, über die Lecks dauerhaft auf die Systeme zu kommen. Ein Weg sei es, dies über den CRON-Job zu erreichen. Doch gebe es zahlreiche andere Mittel und Wege, die deutlich schwieriger zu entdecken seien.

HIGHLIGHT

Coinhive: So schützen Sie sich vor dem Cryptominer-Code

MS Defender erkennt den Coinhive-Code zum Schürfen der Kryptowährung Monero nicht. Andere Sicherheitsanbieter machen es besser. Aber auch Adblocker schützen vor den in über 1000 Webseiten versteckten Kryptominern.

Martin Schindler

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

8 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

9 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

11 Stunden ago