零日攻击者提供双倍剂量的勒索软件

思科Talos的研究人员周二表示，攻击者一直在积极利用广泛使用的Oracle WebLogic服务器中的关键零日漏洞来安装勒索软件，最终用户无需点击或进行其他交互。

据安全教育组织SANS ISC的研究人员称，该漏洞和工作漏洞利用代码两周前首次在中国国家漏洞数据库中公布，他警告说漏洞正在受到主动攻击。该漏洞易于利用，并使攻击者能够在云服务器上执行自己选择的代码。由于它们的功能，带宽以及在高安全性云环境中的使用，这些服务器被认为是高价值目标。该披露促使甲骨文周五发布紧急补丁。

周二，思科Talos的研究人员表示CVE-2019-2725，因为该漏洞已被编入索引，至少从4月21日开始一直处于活跃状态。从上周四开始 - 在Oracle修补零日漏洞前一天，攻击者开始使用在安装“Sodinokibi”的活动中的一个漏洞，这是一块新的勒索软件。除了加密受感染计算机上的有价值数据外，恶意程序还会尝试销毁卷影副本备份，以防止目标只是简单地恢复丢失的数据。奇怪的是，在感染后大约八小时，攻击者利用同样的漏洞安装了一块名为GandCrab的不同勒索软件。

无需互动

“从历史上看，大多数类型的勒索软件都需要某种形式的用户交互，例如用户打开电子邮件附件，点击恶意链接或在设备上运行恶意软件，”Talos研究员Pierre Cadieux，Colin Grady，Jaeson Schultz和Matt Valites在周二的帖子中写道。“在这种情况下，攻击者只是利用Oracle WebLogic漏洞，导致受影响的服务器从攻击者控制的IP地址188.166.74 [。] 218和45.55.211 [。] 79下载勒索软件的副本。”

该漏洞很容易被利用，因为所需要的只是对易受攻击的WebLogic服务器的HTTP访问。它在通用漏洞评分系统下的严重等级为9.8，可能为10.攻击者向易受攻击的服务器发送POST命令，该命令包含下载然后执行名为“radm.exe”的恶意文件的PowerShell命令。除PowerShell外，攻击者还利用CVE-2019-2725来使用Certutil命令行实用程序。下载并执行的其他文件包括office.exe和untitled.exe。

部分上方和完全低于要求目标的赎金票据在两天内支付价值2,500美元的比特币，以获得解锁加密数据的解密密钥。在截止日期之后，赎金翻倍至5,000美元。攻击者提供说明解释加密货币新手如何建立比特币钱包并获得数字货币，甚至推荐使用Blockchain.info。

标签： 零日攻击者