Güvenlik araştırmacıları, şirketin yürüttüğü kripto para madenciliği operasyonuna daha fazla ışık tuttu. 8220 Çetesi Oracle WebLogic Server’daki bilinen güvenlik açıklarından yararlanarak.
Trend Micro araştırmacıları Ahmed Mohamed Ibrahim, Shubham Singh ve Sunil Bharti, bugün yayınlanan yeni bir analizde, “Tehdit aktörü, DLL yansıtıcı ve işlem enjeksiyonu kullanarak dosyasız yürütme teknikleri kullanıyor ve bu sayede kötü amaçlı yazılım kodunun yalnızca bellekte çalışmasına ve disk tabanlı tespit mekanizmalarından kaçınmasına olanak tanıyor” dedi.
Siber güvenlik firması, ilk erişim ve bırakma için Oracle WebLogic Server’daki CVE-2017-3506, CVE-2017-10271 ve CVE-2023-21839 gibi güvenlik açıklarını silah haline getirdiği bilinen Water Sigbin adı altında finansal motivasyona sahip aktörü izliyor. madenci yükünü çok aşamalı yükleme tekniği ile
Başarılı bir dayanağı, meşru WireGuard VPN uygulamasını taklit eden ancak gerçekte başka bir ikili programı (“cvtres.exe”) başlatan birinci aşama yükleyiciyi (“wireguard2-3.exe”) bırakmaktan sorumlu PowerShell betiğinin konuşlandırılması izler. “) bir DLL (“Zxpus.dll”) aracılığıyla belleğe aktarılır.
Enjekte edilen yürütülebilir dosya, PureCrypter yükleyicisini (“Tixrgtluffu.dll”) yüklemek için bir kanal görevi görür; bu yükleyici, donanım bilgilerini uzak bir sunucuya sızdırır ve madenciyi çalıştırmak için zamanlanmış görevler oluşturmanın yanı sıra kötü amaçlı dosyaları Microsoft Defender Antivirus’ten hariç tutar. .
Buna karşılık, komuta ve kontrol (C2) sunucusu, XMRig yapılandırma ayrıntılarını içeren şifrelenmiş bir mesajla yanıt verir, ardından yükleyici, saldırganın kontrolündeki bir etki alanından madenciyi “AddinProcess.exe” (meşru bir Microsoft ikili dosyası) olarak maskeleyerek alır ve çalıştırır.
Gelişme, QiAnXin XLab ekibinin, Tsunami DDoS botnet’i ve PwnRig madencilik programını sunmak için en az Şubat 2024’ten bu yana 8220 Gang tarafından kullanılan k4spreader adlı yeni bir kurulum aracını ayrıntılarıyla açıklamasıyla ortaya çıktı.
Şu anda geliştirilme aşamasında olan ve kabuk sürümüne sahip olan kötü amaçlı yazılım, duyarlı hedeflere sızmak için Apache Hadoop YARN, JBoss ve Oracle WebLogic Server gibi güvenlik kusurlarından yararlanıyor.
Şirket, “k4spreader’ın sistem kalıcılığı, kendisini indirme ve güncelleme ve yürütülmek üzere diğer kötü amaçlı yazılımları yayınlama dahil olmak üzere cgo’da yazıldığını” belirterek, aynı zamanda güvenlik duvarını devre dışı bırakmak, rakip botnet’leri sonlandırmak (örn. kining) ve operasyonel durumu yazdırmak için tasarlandığını da sözlerine ekledi. .