Water Sigbin Hackerları Oracle WebLogic Açıklarından Yararlanıyor


Water Sigbin Hacker'ları Oracle WebLogic Güvenlik Açıklarını Kullanıyor

Siber güvenlik araştırmacıları, Oracle WebLogic Server’daki CVE-2017-3506 ve CVE-2023-21839 güvenlik açıklarını istismar ederek, XMRig kripto para madencisini tehlikeye atılmış sistemlere yerleştirmeyi amaçlayan Water Sigbin (diğer adıyla 8220 Gang) tehdit grubunun karmaşık bir saldırı kampanyasını ortaya çıkardı.

Saldırı, tehdit aktörünün WebLogic güvenlik açıklarını kullanarak kurban makinede kötü amaçlı bir PowerShell betiğini çalıştırmasıyla başlıyor.

Bu komut dosyası, PureCrypter yükleyiciyi ve XMRig madencisini sunmak için çok aşamalı bir yükleme sürecini başlatan Base64 kodlu bir yükün kodunu çözer.

Su Sigbin’i tespit edilmekten kaçınmak için çeşitli gelişmiş taktikler kullanır:

  • Tüm yükler, kodu gizleyen ve hata ayıklamaya karşı önlemler içeren bir kod koruma yazılımı olan .Net Reactor kullanılarak korunmaktadır
  • Kötü amaçlı yazılım, kötü amaçlı kodu yalnızca bellekte çalıştırmak için DLL yansıtıcı enjeksiyon ve işlem boşaltma gibi dosyasız yürütme tekniklerini kullanır
  • XMRig madencisi şüphe çekmemek için cvtres.exe ve AddinProcess.exe gibi meşru işlemler gibi görünür

"Is Your System Under Attack? Try Cynet XDR: Automated Detection & Response for Endpoints, Networks, & Users!"- Free Demo

Teknik Analiz:

Saldırı, yükün şifresini çözme, sıkıştırmayı açma ve yüklemenin birden fazla aşamasını içerir:

  1. İlk PowerShell betiği Base64 yükünü çözüyor
  2. Kodu çözülmüş veri (wireguard2-3.exe), yansıtıcı enjeksiyon yoluyla ikinci aşama DLL’nin (Zxpus.dll) şifresini çözer ve yükler
  3. Zxpus.dll şifrelenmiş ikili dosyayı alır, AES kullanarak şifresini çözer, GZip ile sıkıştırılmış dosyayı açar ve bir sonraki yükleyici yapılandırmasını ortaya çıkarmak için seri hale getirir
  4. Yükleyici cvtres.exe işlemini oluşturur ve sonraki aşama yükünü enjekte eder
  5. cvtres.exe PureCrypter yükleyici DLL’sini (Tixrgtluffu.dll) yükler
  6. PureCrypter, C2 sunucusuna kaydolur ve son XMRig madenci yükünü indirir.

Kötü amaçlı yazılım, WMI sorgularını kullanarak işlemci kimliği, disk sürücüsü ayrıntıları, yüklü AV yazılımı vb. sistem bilgilerini toplar. Bu veriler şifrelenerek 89.185.85 adresindeki C2 sunucusuna gönderilir.[.]Mağdurun tespiti için 102:9091.

Saldırı Akışı

Kötü amaçlı yazılım, DLL yansıtıcı ve işlem enjeksiyonu kullanarak dosyasız yürütme teknikleri kullanır. Bu, kötü amaçlı yazılım kodunun yalnızca bellekte çalışmasına ve disk tabanlı algılama mekanizmalarından kaçınmasına olanak tanır.

Bu kampanya sırasında kullanılan yükler, tersine mühendisliğe karşı koruma sağlamak amacıyla bir .NET kod koruma yazılımı olan .NET Reactor kullanılarak korunmaktadır. Bu koruma, kodu gizleyerek savunucuların anlamasını ve kopyalamasını zorlaştırır.

Ek olarak, hata ayıklama karşıtı teknikler içerir. Saldırı, tehlikeye atılan makineye bir PowerShell betiği dağıtan CVE-2017-3506’nın istismarıyla başlar.

Bu komut dosyası, ilk aşama Base64 kodlu verinin kodunu çözer ve şifresi çözülen yanıtı alt anahtar yolu altındaki bir kayıt defteri anahtarında saklar HKEY_CURRENT_USER\SOFTWARE\.

Trend Micro raporuna göre, kötü amaçlı yazılım daha sonra şu adla şifrelenmiş bir dosya indiriyor: plugin3.dllve TripleDES algoritmasını kullanarak şifresini çözer ve Gzip ile sıkıştırılmış dosyayı açar. Yükleyici, adında yeni bir işlem oluşturur AddinProcess.exe meşru bir işlemi taklit etmek, işlem enjeksiyonunu kullanarak XMRig yükünü belleğe yüklemek ve yeni işlemi başlatmak.

Son yük, birden fazla işletim sistemini destekleyen popüler bir açık kaynaklı madencilik yazılımı olan XMRig’dir. Bir madencilik havuzu URL’sine “217.182.205” bir madencilik oturum açma isteği gönderir.[.]238:8080” ve bir cüzdan adresi “ZEPHYR2xf9vMHptpxP6VY4hHwTe94b2L5SGyp9Czg57U8DwRT3RQvDd37eyKxoFJUYJvP5ivBbiFCAMyaKWUe9aPZzuNoDXYTtj2Z.c4k”.

Uzlaşma Göstergeleri

e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da	
f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33 - Ransom_Blocker.R002C0XFC24
0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050 - TROJ_FRS.VSNTFH24
b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93 - TROJ_FRS.0NA104FH24
2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884 - Trojan.MSIL.EXNET.VSNW11F24

[URL/IP address]
89[.]169[.]52[.]37
http://87[.]121[.]105[.]232/bin.ps1
http://79[.]110[.]49[.]232/plugin3.dll

Azaltma:

Trend Micro, kuruluşlara bu tür tehditlere karşı korunmak için düzenli yama uygulama, güçlü erişim kontrolleri, güvenlik değerlendirmeleri ve çalışanların farkındalık eğitimi gibi en iyi güvenlik uygulamalarını uygulamalarını tavsiye ediyor. Özel öneriler şunları içerir:

  • Sistemleri ve yazılımları en son güvenlik yamalarıyla güncel tutun
  • Çok faktörlü kimlik doğrulama gibi güçlü kimlik doğrulama yöntemlerini kullanın
  • Güvenlik açıklarını düzenli olarak tarayın
  • Çalışanları en iyi güvenlik uygulamaları konusunda eğitin
  • Kötü amaçlı etkinlikleri tespit etmek için uç nokta algılama ve yanıt çözümlerini kullanın

WebLogic’teki güvenlik açıklarından yararlanarak, gelişmiş kaçınma taktikleri kullanarak ve XMRig madencilerini konuşlandırarak Water Sigbin tehdit aktörü bir kez daha teknik açıdan ne kadar gelişmiş olduğunu kanıtladı.

Are you from SOC/DFIR Teams? - Sign up for a free ANY.RUN account! to Analyse Advanced Malware Files



Source link