Water Sigbin (8220 Çetesi), PowerShell betiklerini kullanarak kripto para madencileri sunmak için Oracle WebLogic sunucularındaki güvenlik açıklarını (CVE-2017-3506, CVE-2023-21839) kullanıyor.
Yükü koruyan .Net Reactor ile çok aşamalı bir yükleme tekniği kullanarak PureCrypter yükleyicisini ve XMRig madencisini dağıtıyorlar, bu da kodun analiz edilmesini ve savunma önlemlerinin uygulanmasını zorlaştırıyor.
Water Sigbin, Base64 kodlu bir yükü çözen ve ardından meşru bir VPN uygulamasını taklit eden wireguard2-3.exe adlı kötü amaçlı bir dosyayı bırakan bir PowerShell betiğini dağıtmak için CVE-2017-3506’yı kullanır.
Bu dropper, yansıtıcı DLL enjeksiyonu kullanarak bellekteki ikinci aşama yükünü (Zxpus.dll) alan, şifresini çözen, eşleyen ve yürüten bir Truva yükleyicisidir; böylece kötü amaçlı yazılımın tespit edilmekten kaçmasına ve kötü amaçlı faaliyetlerde bulunmasına olanak tanır.
"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo
İkinci aşama yükleyici olan Zxpus.dll, kaynaklarından Vewijfiv adlı bir ikili dosyayı alır, belirtilen anahtar ve IV ile AES kullanarak şifresini çözer ve GZip kullanarak sıkıştırılmış dosyayı açar.
Sıkıştırılmış yük daha sonra protobuf-net kullanılarak seri hale getirilir ve yükleyicinin yapılandırması, oluşturulacak işlem adı ve bir sonraki aşama yükü şifrelenmiş biçimde ortaya çıkarılır.
Daha sonra cvtres.exe adında yeni bir işlem oluşturur, şifresi çözülmüş bir sonraki aşama yükünü işlem enjeksiyonu kullanarak belleğe enjekte eder ve yürütmeyi cvtres.exe işlemine geçirir.
Cvtres.exe adlı kötü amaçlı yazılım, Gzip ile bir DLL dosyasını sıkıştırıyor ve yürütülmek üzere yüklüyor. Bu yük, PureCrypter yükleyici sürüm V6.0.7D olarak tanımlanıyor. Bu yükleyici, bir komuta ve kontrol sunucusuyla bağlantı kuruyor ve büyük ihtimalle bir kripto para madencisi olan son kötü amaçlı yükü indiriyor.
PureCrypter yükleyicisi, C&C sunucusundan yapılandırmayı alarak yalnızca bir örneğin çalışmasını sağlamak için bir mutex kullanan kötü amaçlı bir DLL’dir; buna kalıcılık mekanizmaları ve antivirüs için dışlama kuralları da dahildir.
Kalıcılık için, senkronize bir dosya gibi gizlenmiş zamanlanmış bir görev ve belirli dosyaları eklemek için rastgele bir ada sahip başka bir görev oluşturur ve dışlama listesine ekler ve ardından sistem bilgilerine dayanarak kurban makine için benzersiz bir tanımlayıcı oluşturur ve C&C sunucusuyla iletişim kurar.
.NET gizlenmiş yükleyici olan PureCrypter, bilgi hırsızları ve RAT’ler gibi çeşitli kötü amaçlı yazılımları, yükü meşru bir işleme enjekte etmek için işlem boşaltmayı kullanarak indirir ve çalıştırır. Algılanmayı önlemek için PureCrypter, WMI kullanarak sistem bilgilerini toplar
sorgular bunu TripleDES ile şifreler ve C&C sunucusuna gönderir.
Trend Micro’ya göre, C&C sunucusu, kayıt defterinde saklanan şifrelenmiş bir XMRig madencilik yapılandırmasıyla yanıt veriyor.
PureCrypter daha sonra XMRig yükünü (plugin3.dll) indirir, şifresini çözer, yeni oluşturulan bir işleme (AddinProcess.exe) enjekte eder ve ZEPHYR2xf9vMHptpxP6VY4hHwTe94b2L5SGyp9Czg57U8DwRT3RQvDd37eyKxoFJUYJvP5ivBbiFCAMyaKWUe9aPZzuNoDXYTtj2Z.c4k cüzdan adresini kullanarak 217.182.205.238:8080 adresindeki XMRig madencilik havuzu için madenciliğe başlar.
Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files