Zloglasna grupa za cryptojacking praćena kao 8220 Gang uočena je kako koristi šest godina staru sigurnosnu grešku u Oracle WebLogic serverima kako bi ulovila ranjive botnet instance i distribuisala maliciozni softver za rudarenje kriptovaluta.
Greška u pitanju je CVE-2017-3506 (CVSS rezultat: 7,4), koja, kada se uspješno iskoristi, može omogućiti neautorizovanom napadaču da izvrši proizvoljne komande na daljinu.
“Ovo omogućava napadačima da dobiju neovlašteni pristup osjetljivim podacima ili kompromituju cijeli sistem” rekao je istraživač Trend Micro-a Sunil Bharti u izvještaju objavljenom ove sedmice.
Gang 8220, koju je prvi put dokumentovao Cisco Talos krajem 2018. godine, nazvana je tako zbog prvobitne upotrebe porta 8220 za komandnu i kontrolnu (C2) mrežnu komunikaciju.
“8220 Gang identifikuje mete skeniranjem u potrazi za pogrešno konfigurisanim ili ranjivim hostovima na internetu” primetio je SentinelOne prošle godine. “Poznato je da 8220 Gang koristi SSH brute force napade nakon infekcije u svrhu lateralnog kretanja unutar ugrožene mreže.”
Ranije ove godine, Sydig je detaljno opisao napade koje je organizovala grupa “nisko-kvalifikovanih” kriminalnih softvera između novembra 2022. i januara 2023. godine, a čiji je cilj probijanje ranjivih Oracle WebLogic i Apache web servera i postavljanje rudara kriptovaluta.
Također je primijećeno da se koristi gotov program za preuzimanje malicioznog softvera poznat kao PureCrypter, kao i kripter kodnog imena ScrubCrypt kako bi se prikrio payload rudara i izbjegao otkrivanje sigurnosnim softverom.
U najnovijem lancu napada koji je dokumentovao Trend Micro, ranjivost Oracle WebLogic Servera se koristi za isporuku PowerShell payload-a, koji se zatim koristi za kreiranje još jedne zamagljene PowerShell skripte u memoriji.
Ova novostvorena PowerShell skripta onemogućava otkrivanje Windows Antimalware Scan Interface (AMSI) i pokreće Windows binarnu datoteku koja potom dopire do udaljenog servera kako bi dohvatila “pomno zamagljeni” payload.
Međusobna DLL datoteka, sa svoje strane, je konfigurisana za preuzimanje rudara kriptovalute sa jednog od tri C2 servera, 179.43.155[.]202, work.letmaker[.]top i su-94.letmaker[.]top, koristeći TCP portove 9090, 9091 ili 9092.
Trend Micro je rekao da su nedavni napadi takođe doveli do zloupotrebe legitimnog Linux alata pod nazivom lwp-download za spremanje proizvoljnih datoteka na kompromitovanom hostu.
“lwp-download je Linux uslužni program prisutan na brojnim platformama prema zadanim postavkama, a 8220 Gang koji ovo čini dijelom bilo koje rutine malicioznog softvera može uticati na brojne usluge čak i ako se ponovo koristi više puta” rekao je Bharti.
„Uzimajući u obzir tendenciju hakera da ponovo koristi alate za različite kampanje i zloupotrebljava legitimne alate kao dio arsenala, sigurnosni timovi organizacije mogli bi se suočiti s izazovom da pronađu druga rešenja za otkrivanje i blokiranje kako bi se odbranili od napada koji zloupotrebljavaju ovaj alat.“
Izvor: The Hacker News