マイクロソフト、決済手段としてのビットコイン利用を停止「通貨として不安定なため」

元記事

https://www.bleepingcomputer.com/news/cryptocurrency/microsoft-halts-bitcoin-transactions-because-its-an-unstable-currency/

概要

• Microsoft は 2014年に決済手段としてビットコインを追加、過去にも一時停止
• Steamも「手数料高騰と貨幣価値の乱高下」を理由に2017年12月に同様の停止判断
• 貨幣価格の乱高下でタイミングに依存し多額の損失を被りうるための措置/Microsoft はアカウントにドル建てで現金をチャージする手段としてのビットコインは受け入れ

Oracle WebLoic Server の脆弱性を悪用した攻撃キャンペーンが確認される

元記事

https://isc.sans.edu/diary.html?date=2018-01-04

概要

• Oracle WebLogic Server の脆弱性を悪用して Monero 暗号通貨の採掘を行うマイニングスクリプトを埋め込む攻撃が確認される
• 悪用される脆弱性はCVE-2017-10271
  • ユーザ入力値のサニタイズに不具合があり、権限をもたない攻撃者がリモートから WebLogic Server の権限で任意のコマンドを実行できる
• Oracle からのパッチおよびセキュリティアドバイザリ
• 影響を受けるバージョン (以下は Oracle アドバイザリでのサポート対象製品のみ。サポート対象外では 10.3.3.0 にも影響)
  • 10.3.6.0.0
  • 12.1.3.0.0
  • 12.2.1.1.0
  • 12.2.1.2.0

確認された攻撃の内容

• Bash スクリプトで URL 「/wls-wsat/CoordinatorPortType」に対してアクセスし、文字列「Web Services」を含む応答が返ってくるかどうかをチェックすることで脆弱なシステムを探す
• 脆弱なシステムが見つかると次にドロッパースクリプトが Monero のマイニングスクリプトをドロップする
  • ドロッパースクリプトは攻撃の初めに java プロセスを停止させるため道連れで WebLogic も停止する
• WebLogic の停止記録によって WebLogic Server ユーザーが攻撃に気づくこともある

これまでに確認されている IOC

ネットワーク

• hxxp://165.227.215.25/
• hxxp://165.227.215.25/xmrig-y
• hxxps://165.227.215.25/xmrig-y
• hxxp://165.227.215.25/java_infected
• hxxp://165.227.215.25/xmrig-y%20$mName
• hxxp://165.227.215.25/5555
• hxxp://165.227.215.25/xmrig-aeon.exe
• hxxp://165.227.215.25/xmrig-y.exe
• hxxp://165.227.215.25/xmrig-y%20$
• hxxp://165.227.215.25/xmrig

IP アドレス

• IP アドレス 165[.]227.215.25 が攻撃にも、暗号通貨マイナーのバイナリ用リポジトリとしても利用されている

ハッシュ値 (MD5)

0e0ad37bc72453e4ec2a6029517a8edd 44d3ea4f3542f246a5535c9f114fbb09

謝辞: 分析時の協力者

• Diego Piffaretti 氏
• Victor Matuk 氏

参考文献

[1] http://www.oracle.com/technetwork/security-advisory/cpuoct2017-3236626.htm [2] https://isc.sans.edu/api/threatlist/miner