{"id":761387,"date":"2023-05-18T21:47:38","date_gmt":"2023-05-18T21:47:38","guid":{"rendered":"https:\/\/teknomers.com\/es\/8220-gang-explota-la-falla-de-oracle-weblogic-para-secuestrar-servidores-y-minar-criptomonedas\/"},"modified":"2023-05-18T21:47:41","modified_gmt":"2023-05-18T21:47:41","slug":"8220-gang-explota-la-falla-de-oracle-weblogic-para-secuestrar-servidores-y-minar-criptomonedas","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/8220-gang-explota-la-falla-de-oracle-weblogic-para-secuestrar-servidores-y-minar-criptomonedas\/","title":{"rendered":"8220 Gang explota la falla de Oracle WebLogic para secuestrar servidores y minar criptomonedas"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">18 de mayo de 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshman\u00e1n<\/span><\/span><span class=\"p-tags\">Criptomoneda \/ Seguridad del servidor<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><\/div>\n<p>El notorio grupo de cryptojacking rastreado como <strong>8220 Pandilla<\/strong> ha sido visto armando una falla de seguridad de seis a\u00f1os en los servidores Oracle WebLogic para atrapar instancias vulnerables en una red de bots y distribuir malware de miner\u00eda de criptomonedas.<\/p>\n<p>El defecto en cuesti\u00f3n es <a rel=\"nofollow noopener\" href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2017-3506\" target=\"_blank\">CVE-2017-3506<\/a> (puntaje CVSS: 7.4), que, cuando se explota con \u00e9xito, podr\u00eda permitir que un atacante no autenticado ejecute comandos arbitrarios de forma remota.<\/p>\n<p>&#8220;Esto permite a los atacantes obtener acceso no autorizado a datos confidenciales o comprometer todo el sistema&#8221;, dijo Sunil Bharti, investigador de Trend Micro. <a rel=\"nofollow noopener\" href=\"https:\/\/www.trendmicro.com\/en_us\/research\/23\/e\/8220-gang-evolution-new-strategies-adapted.html\" target=\"_blank\">dicho<\/a> en un informe publicado esta semana.<\/p>\n<p>8220 pandilla, <a rel=\"nofollow noopener\" href=\"https:\/\/blog.talosintelligence.com\/2018\/12\/cryptomining-campaigns-2018.html\" target=\"_blank\">documentado por primera vez<\/a> por Cisco Talos a fines de 2018, se llama as\u00ed por su uso original del puerto 8220 para comunicaciones de red de comando y control (C2).<\/p>\n<p>&#8220;8220 Gang identifica objetivos mediante el escaneo de hosts mal configurados o vulnerables en la Internet p\u00fablica&#8221;, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/blog\/8220-gang-cloud-botnet-targets-misconfigured-cloud-workloads\/\" target=\"_blank\">anotado<\/a> el a\u00f1o pasado.  &#8220;Se sabe que 8220 Gang hace uso de ataques de fuerza bruta SSH despu\u00e9s de la infecci\u00f3n con el fin de moverse lateralmente dentro de una red comprometida&#8221;.<\/p>\n<p>A principios de este a\u00f1o, Sydig detall\u00f3 los ataques montados por el grupo de crimeware de &#8220;baja habilidad&#8221; entre noviembre de 2022 y enero de 2023 que tienen como objetivo violar los servidores web vulnerables Oracle WebLogic y Apache e implementar un minero de criptomonedas.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/05\/1684446458_58_8220-Gang-explota-la-falla-de-Oracle-WebLogic-para-secuestrar.png\" alt=\"criptomoneda\" border=\"0\" data-original-height=\"700\" data-original-width=\"728\" title=\"criptomoneda\"\/><\/div>\n<p>Tambi\u00e9n se ha observado que hace uso de un descargador de malware est\u00e1ndar conocido como PureCrypter, as\u00ed como de un encriptador con nombre en c\u00f3digo ScrubCrypt para ocultar la carga \u00fatil del minero y evadir la detecci\u00f3n por parte del software de seguridad.<\/p>\n<p>En la \u00faltima cadena de ataques documentada por Trend Micro, la vulnerabilidad de Oracle WebLogic Server se aprovecha para entregar una carga \u00fatil de PowerShell, que luego se usa para crear otro script de PowerShell ofuscado en la memoria.<\/p>\n<p>Este script de PowerShell reci\u00e9n creado deshabilita la interfaz de an\u00e1lisis antimalware de Windows (<a rel=\"nofollow noopener\" href=\"https:\/\/learn.microsoft.com\/en-us\/windows\/win32\/amsi\/antimalware-scan-interface-portal\" target=\"_blank\">AARMI<\/a>) y lanza un binario de Windows que posteriormente llega a un servidor remoto para recuperar una carga \u00fatil &#8220;meticulosamente ofuscada&#8221;.<\/p>\n<div class=\"ad_two clear\" style=\"margin: 20px 10px 30px 0;background: rgb(249 251 255);color: rgb(22, 7, 85);padding: 0px 5%;border: 2px solid rgb(217 222 255);border-radius: 10px;text-align: left;box-shadow: 10px 10px 0 #e2ebff;border-top-left-radius: 50px;border-bottom-right-radius: 50px;\"> <span style=\"font-size:14px;margin:25px 0 0 0;font-weight:900;background: #dbdefc;display:inline-block;padding: 3px 20px;border-radius: 100px;letter-spacing: 0.5px;color: #596cec;\">PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\n<p>Zero Trust + Deception: \u00a1Aprende a ser m\u00e1s astuto que los atacantes!<\/p>\n<p style=\"text-align:left;font-size:17px;line-height:30px;margin: 10px 0;color: #4e6a8d;\">Descubra c\u00f3mo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust.  \u00a1\u00danase a nuestro seminario web perspicaz!<\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/z-inside-2\" target=\"_blank\" style=\"padding: 10px 20px;border-radius: 8px;background-color: #4469f5;font-size:16px;display:inline-block;color:#fff;border:0;line-height:inherit;text-decoration:none;cursor:pointer;MARGIN: 10px 0 25px 0;float:left;font-weight:500;letter-spacing: 0.2px;\">Guardar mi asiento!<\/a><\/div>\n<p>El archivo DLL intermedio, por su parte, est\u00e1 configurado para descargar un minero de criptomonedas de uno de los tres servidores C2: 179.43.155[.]202, trabajo.letmaker[.]superior y su-94.letmaker[.]arriba: utilizando los puertos TCP 9090, 9091 o 9092.<\/p>\n<p>Trend Micro dijo que los ataques recientes tambi\u00e9n implicaron el uso indebido de una herramienta leg\u00edtima de Linux llamada <a rel=\"nofollow noopener\" href=\"https:\/\/linux.die.net\/man\/1\/lwp-download\" target=\"_blank\">lwp-descargar<\/a> para guardar archivos arbitrarios en el host comprometido.<\/p>\n<p>&#8220;lwp-download es una utilidad de Linux presente en varias plataformas de forma predeterminada, y 8220 Gang, que hace que esto sea parte de cualquier rutina de malware, puede afectar a una serie de servicios incluso si se reutiliza m\u00e1s de una vez&#8221;, dijo Bharti.<\/p>\n<p>&#8220;Teniendo en cuenta la tendencia del actor de amenazas a reutilizar herramientas para diferentes campa\u00f1as y abusar de herramientas leg\u00edtimas como parte del arsenal, los equipos de seguridad de las organizaciones podr\u00edan verse desafiados a encontrar otras soluciones de detecci\u00f3n y bloqueo para defenderse de los ataques que abusan de esta utilidad&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontraste este art\u00edculo interesante?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/05\/8220-gang-exploiting-oracle-weblogic.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80218 de mayo de 2023\ue804Ravie Lakshman\u00e1nCriptomoneda \/ Seguridad del servidor El notorio grupo de cryptojacking rastreado como 8220<\/p>\n","protected":false},"author":1,"featured_media":761388,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,4664,1868,6614,2503,4662,5086,4668,4667,91866,4654,4658,4659,4653,4655,28628,18,4663,33981,4666,4665,7982,4660,109529],"class_list":["post-761387","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-como-hackear","tag-criptomonedas","tag-explota","tag-falla","tag-filtracion-de-datos","tag-gang","tag-la-seguridad-informatica","tag-las-noticias-de-los-hackers","tag-minar","tag-noticias-ciberneticas","tag-noticias-de-hackers","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-oracle","tag-para","tag-programa-malicioso-ransomware","tag-secuestrar","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-servidores","tag-vulnerabilidad-de-software","tag-weblogic"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/761387","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=761387"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/761387\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/761388"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=761387"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=761387"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=761387"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}