Falha no Oracle WebLogic Server
1 de Julho de 2024

Pesquisadores de segurança deram mais detalhes sobre a operação de mineração de criptomoedas conduzida pela Gangue 8220, explorando falhas de segurança conhecidas no Oracle WebLogic Server.

"O ator de ameaça emprega técnicas de execução fileless, utilizando DLL reflective e process injection, permitindo que o código do malware seja executado apenas na memória e evite mecanismos de detecção baseados em disco", afirmaram os pesquisadores da Trend Micro, Ahmed Mohamed Ibrahim, Shubham Singh e Sunil Bharti, em uma nova análise publicada hoje.

A firma de cibersegurança está rastreando o ator financeiramente motivado sob o nome Water Sigbin, conhecido por explorar vulnerabilidades no Oracle WebLogic Server como CVE-2017-3506 , CVE-2017-10271 e CVE-2023-21839 para acesso inicial e implantar o payload do minerador via técnica de carregamento multi-estágio.

Um acesso bem-sucedido é seguido pela implantação de um script PowerShell responsável por descartar um carregador de primeiro estágio ("wireguard2-3.exe") que imita o aplicativo WireGuard VPN legítimo, mas, na realidade, lança outro binário ("cvtres.exe") na memória por meio de uma DLL ("Zxpus.dll").

O executável injetado serve como um conduto para carregar o carregador PureCrypter ("Tixrgtluffu.dll") que, por sua vez, exfiltra informações de hardware para um servidor remoto e cria tarefas agendadas para executar o minerador, bem como exclui os arquivos maliciosos do Microsoft Defender Antivirus.

Em resposta, o servidor de comando e controle (C2) responde com uma mensagem criptografada contendo os detalhes da configuração do XMRig, seguindo o qual o carregador recupera e executa o minerador de um domínio controlado pelo atacante, mascarando-o como "AddinProcess.exe", um binário legítimo da Microsoft.

Este desenvolvimento ocorre enquanto a equipe QiAnXin XLab detalhou uma nova ferramenta instaladora usada pela Gangue 8220 chamada k4spreader desde pelo menos fevereiro de 2023 para entregar o botnet Tsunami DDoS e o programa de mineração PwnRig.

O malware, que está atualmente em desenvolvimento e possui uma versão shell, tem aproveitado falhas de segurança como Apache Hadoop YARN, JBoss e Oracle WebLogic Server para infiltrar-se em alvos suscetíveis.

"k4spreader é escrito em cgo, incluindo persistência no sistema, baixando e atualizando a si mesmo, e liberando outro malware para execução", disse a empresa, adicionando que também é projetado para desativar o firewall, terminar botnets rivais (por exemplo, kinsgate) e imprimir o status operacional.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...