Fecha de publicación: Vie, 02/06/2023 - 17:24

Aviso de seguridad

Nivel de peligrosidad: Alto

Descripción

La vulnerabilidad explotada está identificada como CVE-2017-3506, que permite a un atacante no autenticado ejecute comandos arbitrarios de forma remota.

Según la documentación entregada por investigadores de seguridad de TrendMicro, se observo que el grupo 8220 Gang ha estado activo los últimos meses. Los atacantes explotaron el HTTP URI (Uniform Resource Identifier) "w/s-wsat/CoordinatorPortType" como punto de entrada para apuntar a un servidor Oracle aprovechando la vulnerabilidad CVE-2017-3506.

Al ingresar, 8220 Gang entregó un script de PowerShell que descarga y crea otros archivos dropper utilizando dicha vulnerabilidad de seis años. En ataques recientes, también se observa que el grupo usaba " lwp-download ", una utilidad de Linux para descargar un archivo especificado por la URL.

La carga útil del ataque ejecuta un comando de PowerShell codificado con Base64. Tras la decodificación, ejecuta un comando que abre una ventana oculta de PowerShell ( -NonI -W Hidden ) sin perfil cargado ( -NoP ) y omite las políticas de ejecución ( -Exec Bypass ). El comando decodificado descarga y ejecuta un script de PowerShell desde http[:]//185[.]17[.]0[.]199/bypass.ps1 sin mostrar ningún resultado visible para el usuario. La cadena codificada en Base64 descarga un script de PowerShell “ bypass.ps1. ”

 

El script de PowerShell decodifica múltiples matrices de bytes codificados en Base64 para crear otro script de PowerShell ofuscado en la memoria y lo ejecuta emdiante el comando "iex" (Invoke-Expression).

Esta secuencia de comandos de PowerShell recién creada desactiva la detección de la interfaz de análisis antimalware de Windows ( AMSI ) e inicia un binario de Windows que posteriormente llega a un servidor remoto para recuperar una carga útil "meticulosamente ofuscada".

El archivo DLL intermedio, por su parte, está configurado para descargar un minero de criptomonedas desde uno de los tres servidores C2: 179.43.155[.]202, work.letmaker[.]top y su-94.letmaker[.]top – utilizando los puertos TCP 9090, 9091 o 9092.

Recursos afectados

  • Oracle WebLogic Server versión 10.3.6.0
  • Oracle WebLogic Server versión 12.1.3.0
  • Oracle WebLogic Server versión 12.2.1.1
  • Oracle WebLogic Server versión 12.2.1.2

Solución

Aplicar los parches correspondientes de abril de 2017 o posteriores publicados en el sitio oficial de oracle.

Recomendaciones

Los administradores de sistemas deben verificar dónde son propensos sus sistemas actuales y aplicar los parches más recientes para evitar estas amenazas.

Referencias

8220 Gang explota la falla de Oracle WebLogic para secuestrar servidores y minar criptomonedas