Pesquisadores de segurança deram mais detalhes sobre a operação de mineração de criptomoedas conduzida pela Gangue 8220, explorando falhas de segurança conhecidas no Oracle WebLogic Server.
"O ator de ameaça emprega técnicas de execução fileless, utilizando DLL reflective e process injection, permitindo que o código do malware seja executado apenas na memória e evite mecanismos de detecção baseados em disco", afirmaram os pesquisadores da Trend Micro, Ahmed Mohamed Ibrahim, Shubham Singh e Sunil Bharti, em uma nova análise publicada hoje.
A firma de cibersegurança está rastreando o ator financeiramente motivado sob o nome Water Sigbin, conhecido por explorar vulnerabilidades no Oracle WebLogic Server como
CVE-2017-3506
, CVE-2017-10271 e
CVE-2023-21839
para acesso inicial e implantar o payload do minerador via técnica de carregamento multi-estágio.
Um acesso bem-sucedido é seguido pela implantação de um script PowerShell responsável por descartar um carregador de primeiro estágio ("wireguard2-3.exe") que imita o aplicativo WireGuard VPN legítimo, mas, na realidade, lança outro binário ("cvtres.exe") na memória por meio de uma DLL ("Zxpus.dll").
O executável injetado serve como um conduto para carregar o carregador PureCrypter ("Tixrgtluffu.dll") que, por sua vez, exfiltra informações de hardware para um servidor remoto e cria tarefas agendadas para executar o minerador, bem como exclui os arquivos maliciosos do Microsoft Defender Antivirus.
Em resposta, o servidor de comando e controle (C2) responde com uma mensagem criptografada contendo os detalhes da configuração do XMRig, seguindo o qual o carregador recupera e executa o minerador de um domínio controlado pelo atacante, mascarando-o como "AddinProcess.exe", um binário legítimo da Microsoft.
Este desenvolvimento ocorre enquanto a equipe QiAnXin XLab detalhou uma nova ferramenta instaladora usada pela Gangue 8220 chamada k4spreader desde pelo menos fevereiro de 2023 para entregar o botnet Tsunami DDoS e o programa de mineração PwnRig.
O malware, que está atualmente em desenvolvimento e possui uma versão shell, tem aproveitado falhas de segurança como Apache Hadoop YARN, JBoss e Oracle WebLogic Server para infiltrar-se em alvos suscetíveis.
"k4spreader é escrito em cgo, incluindo persistência no sistema, baixando e atualizando a si mesmo, e liberando outro malware para execução", disse a empresa, adicionando que também é projetado para desativar o firewall, terminar botnets rivais (por exemplo, kinsgate) e imprimir o status operacional.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...