O notório grupo de cryptojacking rastreado como 8220 Gang foi visto utilizando uma falha de segurança de seis anos nos servidores Oracle WebLogic para capturar instâncias vulneráveis em um botnet e distribuir malware de mineração de criptomoedas.
A falha em questão é a
CVE-2017-3506
(pontuação CVSS: 7,4), que, quando explorada com sucesso, pode permitir que um invasor não autenticado execute comandos arbitrários remotamente.
"Isso permite que os atacantes obtenham acesso não autorizado a dados confidenciais ou comprometam todo o sistema", disse o pesquisador da Trend Micro, Sunil Bharti, em um relatório publicado esta semana.
O 8220 Gang é conhecido por identificar alvos por meio de varreduras em busca de hosts mal configurados ou vulneráveis na internet pública e usar ataques de força bruta SSH pós-infecção para fins de movimento lateral dentro de uma rede comprometida.
Em ataques anteriores, o grupo usou um downloader de malware off-the-shelf conhecido como PureCrypter, bem como um crypter apelidado de ScrubCrypt para ocultar a carga útil do minerador e evitar a detecção pelo software de segurança.
Na mais recente cadeia de ataques documentada pela Trend Micro, a vulnerabilidade do servidor Oracle WebLogic é explorada para fornecer uma carga útil do PowerShell, que é então usada para criar outro script do PowerShell ofuscado na memória.
Este script do PowerShell recém-criado desativa a detecção do Windows Antimalware Scan Interface (AMSI) e lança um binário do Windows que posteriormente se conecta a um servidor remoto para recuperar uma carga útil "meticulosamente ofuscada".
O arquivo DLL intermediário, por sua vez, é configurado para baixar um minerador de criptomoedas de um dos três servidores C2 - 179.43.155[.]202, work.letmaker[.]top e su-94.letmaker[.]top - usando as portas TCP 9090, 9091 ou 9092.
A Trend Micro disse que os ataques recentes também envolveram o uso indevido de uma ferramenta Linux legítima chamada lwp-download para salvar arquivos arbitrários no host comprometido.
"O lwp-download é um utilitário Linux presente em várias plataformas por padrão, e o 8220 Gang, ao torná-lo parte de qualquer rotina de malware, pode afetar vários serviços, mesmo que seja reutilizado mais de uma vez", disse Bharti.
"Considerando a tendência do ator de ameaça de reutilizar ferramentas para diferentes campanhas e abusar de ferramentas legítimas como parte do arsenal, as equipes de segurança das organizações podem ter dificuldade em encontrar outras soluções de detecção e bloqueio para se defender de ataques que abusem deste utilitário".
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...