8220 Gang está explorando uma falha no Oracle WebLogic para sequestrar servidores e minerar criptomoedas
18 de Maio de 2023

O notório grupo de cryptojacking rastreado como 8220 Gang foi visto utilizando uma falha de segurança de seis anos nos servidores Oracle WebLogic para capturar instâncias vulneráveis em um botnet e distribuir malware de mineração de criptomoedas.

A falha em questão é a CVE-2017-3506 (pontuação CVSS: 7,4), que, quando explorada com sucesso, pode permitir que um invasor não autenticado execute comandos arbitrários remotamente.

"Isso permite que os atacantes obtenham acesso não autorizado a dados confidenciais ou comprometam todo o sistema", disse o pesquisador da Trend Micro, Sunil Bharti, em um relatório publicado esta semana.

O 8220 Gang é conhecido por identificar alvos por meio de varreduras em busca de hosts mal configurados ou vulneráveis ​​na internet pública e usar ataques de força bruta SSH pós-infecção para fins de movimento lateral dentro de uma rede comprometida.

Em ataques anteriores, o grupo usou um downloader de malware off-the-shelf conhecido como PureCrypter, bem como um crypter apelidado de ScrubCrypt para ocultar a carga útil do minerador e evitar a detecção pelo software de segurança.

Na mais recente cadeia de ataques documentada pela Trend Micro, a vulnerabilidade do servidor Oracle WebLogic é explorada para fornecer uma carga útil do PowerShell, que é então usada para criar outro script do PowerShell ofuscado na memória.

Este script do PowerShell recém-criado desativa a detecção do Windows Antimalware Scan Interface (AMSI) e lança um binário do Windows que posteriormente se conecta a um servidor remoto para recuperar uma carga útil "meticulosamente ofuscada".

O arquivo DLL intermediário, por sua vez, é configurado para baixar um minerador de criptomoedas de um dos três servidores C2 - 179.43.155[.]202, work.letmaker[.]top e su-94.letmaker[.]top - usando as portas TCP 9090, 9091 ou 9092.

A Trend Micro disse que os ataques recentes também envolveram o uso indevido de uma ferramenta Linux legítima chamada lwp-download para salvar arquivos arbitrários no host comprometido.

"O lwp-download é um utilitário Linux presente em várias plataformas por padrão, e o 8220 Gang, ao torná-lo parte de qualquer rotina de malware, pode afetar vários serviços, mesmo que seja reutilizado mais de uma vez", disse Bharti.

"Considerando a tendência do ator de ameaça de reutilizar ferramentas para diferentes campanhas e abusar de ferramentas legítimas como parte do arsenal, as equipes de segurança das organizações podem ter dificuldade em encontrar outras soluções de detecção e bloqueio para se defender de ataques que abusem deste utilitário".

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...