Trend Micro เตือนพบการโจมตี Oracle WebLogic ด้วยช่องโหว่ร้ายแรง รีบอัปเดตแพตช์

Trend Micro เตือนพบคนร้ายใช้ช่องโหว่ระดับร้ายแรงของ Oracle WebLogic หมายเลข CVE-2019-2725 หรือปัญหาด้าน Deserialization ที่นำไปสู่การทำ Remote Code Execution ได้ โดยท้ายสุดคนร้ายจะลอบติดตั้งตัวขุดเหมือง

Credit: ShutterStock.com

การโจมตีที่พบหลังจากใช้งานช่องโหว่ได้แล้วมีความซับซ้อนสูงมาก เนื่องจากคนร้ายได้แอบโค้ดอันตรายไว้ภายในไฟล์ Certificate โดยมีเทคนิคดังนี้

  • ใช้ PowerShell เพื่อดาวน์โหลดไฟล์ Certificate จากเซิร์ฟเวอร์ควบคุม จากนั้นใช้ CertUtil ทำการ Decode ไฟล์และ Execute ด้วย PowerShell อีกทีหนึ่ง พร้อมกันนี้ยังลบไฟล์ที่ดาวน์โหลดมาด้วย cmd 
  • Certificate ดูเหมือนจะเป็น PEM format ทั่วไปแต่ดันมาในรูปแบบของ PowerShell แทนที่ควรจะเป็น X.509 TLS format ซึ่งต้องมีการ Decode ไฟล์ถึง 2 ครั้งกว่าเผยคำสั่งออกมาก โดย Trend Micro กล่าวว่า “เป็นไปได้ว่า Certificate ที่เราดาวน์โหลดเข้ามาแตกต่างกับไฟล์ที่ตั้งใจโหลดจริงๆ จาก Remote Command ที่คนร้ายอาจจะปรับปรุงอยู่เรื่อยด้วย”
  • เมื่อ Execute คำสั่งใน Certificate และสคิร์ปต์ PowerShell ในหน่วยความจำได้แล้วจะมีการดาวน์โหลดไฟล์เพิ่มประกอบด้วย Sysupdate (ตัวขุดเหมือง), Config.json (ไฟล์ตั้งค่าตัวขุดเหมือง), Networkservice.exe (แพร่กระจายการโจมตีด้วยช่องโหว่บน WebLogic), Update.ps1 (สคิร์ปต์ PowerShell ในหน่วยความจำ), Sysguard.exe (ดูแลโปรเซสของตัวขุดเหมือง) และ Clean.bat (ลบส่วนประกอบอื่นได้) 
  • update.ps1 ที่มีไฟล์ Certificate ที่ใช้ Decode จะถูกแทนด้วย update.ps1 ตัวใหม่และมีการตั้ง Task schedule ให้ Execute สคิร์ปต์ PowerShell ตัวใหม่ทุก 30 นาทีด้วย

จะเห็นได้ว่าวิธีการหลบเลี่ยงของมัลแวร์ดูซับซ้อนวุ่นวายมากทีเดียวซึ่ง Trend Micro เองชี้ว่าพบได้ไม่บ่อยนักและอาจจะอยู่แค่ขั้นตอนพัฒนาเท่านั้นเนื่องจากไฟล์อันตรายอื่นที่ตามหลังมากจากการ Decode Certificate ไม่ได้มีการซ่อนใน Certificate แล้วเหมือนที่เคยทำก่อนหน้า อย่างไรก็ตามดีที่สุดคืออัปเดตแพตช์ WebLogic ของช่องโหว่ที่ออกมาตั้งแต่เมษายนแล้วนะครับ

ที่มา :  https://www.securityweek.com/critical-oracle-weblogic-vulnerability-exploited-attacks

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

สิริซอฟต์ คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards [PR]

สิริซอฟต์ (Sirisoft) ผู้ให้คำปรึกษาและบริการโซลูชันเทคโนโลยีชั้นนำของประเทศไทยที่เชี่ยวชาญด้านการเพิ่มประสิทธิภาพโครงสร้างพื้นฐาน (Infrastructure Optimization) ความมั่นคงปลอดภัยทางไซเบอร์ (Cyber Security) และการเปลี่ยนแปลงดิจิทัล (Digital Transformation) ตอกย้ำความเป็นผู้นำด้านที่ปรึกษาไอทีที่ครบวงจรของไทย คว้ารางวัลระดับอาเซียน “Top Systems Integration Partner” ในงาน 2025 Elastic ASEAN Partner Awards

Wikipedia บอกผู้พัฒนา AI หยุด Scrape ได้แล้ว เอาข้อมูลบทความไปเลย

มูลนิธิ Wikimedia ซึ่งเป็นองค์กรที่อยู่เบื้องหลังสารานุกรมเสรีที่ใหญ่ที่สุดบนอินเทอร์เน็ตอย่าง Wikipedia ได้เสนอชุดข้อมูลที่พร้อมสำหรับปัญญาประดิษฐ์บน Kaggle โดยมีเป้าหมายเพื่อยับยั้งบริษัท AI และผู้ฝึกโมเดลภาษาขนาดใหญ่ (LLM) จากการดึงข้อมูลจากเว็บไซต์โดยอัตโนมัติ (web scraping)