Ερευνητές ασφαλείας έχουν αποκαλύψει λεπτομέρειες σχετικά με τη δραστηριότητα της συμμορίας “8220 Gang”, η οποία εκμεταλλεύεται ευπάθειες στον Oracle WebLogic Server, με σκοπό την εξόρυξη κρυπτονομισμάτων.
Σύμφωνα με τους ερευνητές της Trend Micro, Ahmed Mohamed Ibrahim, Shubham Singh και Sunil Bharti, «ο παράγοντας απειλής χρησιμοποιεί τεχνικές χωρίς αρχεία, όπως το DLL injection. Αυτές οι τεχνικές επιτρέπουν στο κακόβουλο λογισμικό να εκτελείται αποκλειστικά στη μνήμη, αποφεύγοντας έτσι τους disk-based μηχανισμούς ανίχνευσης».
Διαβάστε ακόμη: Το νέο Unfurling Hemlock πλημμυρίζει τα συστήματα με malware
Η εταιρεία κυβερνοασφάλειας παρακολουθεί τον κακόβουλο παράγοντα με οικονομικά κίνητρα με το όνομα Water Sigbin, ο οποίος εκμεταλλεύεται τρωτά σημεία στον Oracle WebLogic Server όπως τα CVE-2017-3506, CVE-2017-10271 και CVE-2023-21839 για πρόσβαση του ωφέλιμου φορτίου του miner μέσω της τεχνικής multi-stage loading.
Μια επιτυχημένη διείσδυση ακολουθείται από την ανάπτυξη ενός σεναρίου PowerShell, που είναι υπεύθυνο για την τοποθέτηση ενός loader (“wireguard2-3.exe”) που μιμείται τη νόμιμη εφαρμογή WireGuard VPN. Ωστόσο, στην πραγματικότητα, εκκινεί ένα άλλο δυαδικό αρχείο (“cvtres.exe”) στη μνήμη μέσω ενός DLL (“Zxpus.dll”).
Το εκτελέσιμο injected λειτουργεί ως αγωγός για τη φόρτωση του PureCrypter loader (“Tixrgtluffu.dll”). Αυτός, με τη σειρά του, εξάγει πληροφορίες hardware σε έναν απομακρυσμένο server και δημιουργεί προγραμματισμένες εργασίες για την εκτέλεση του miner. Επιπλέον, εξασφαλίζει την εξαίρεση των κακόβουλων αρχείων από το Microsoft Defender Antivirus.
Δείτε περισσότερα: Χρήστες Mac εκτέθηκαν σε info-stealer malware μέσω Google Ads
Ο server εντολών και ελέγχου (C2) στέλνει ένα κρυπτογραφημένο μήνυμα που περιέχει τις ρυθμίσεις διαμόρφωσης του XMRig. Στη συνέχεια, ο loader ανακτά και εκτελεί τον miner από έναν τομέα που ελέγχεται από τον χάκερ, μεταμφιεσμένο ως “AddinProcess.exe”, ένα νόμιμο δυαδικό αρχείο της Microsoft.
Επιπλέον, μετά την παρουσίαση ενός νέου εργαλείου εγκατάστασης από την ομάδα QiAnXin XLab, το οποίο ονομάζεται k4spreader και χρησιμοποιείται από την 8220 Gang τουλάχιστον από τον Φεβρουάριο του 2024 για την παράδοση του botnet Tsunami DDoS και του προγράμματος εξόρυξης PwnRig.
Το κακόβουλο λογισμικό, που είναι υπό ανάπτυξη αυτή τη στιγμή και βρίσκεται σε shell έκδοση, εκμεταλλεύεται ελαττώματα ασφαλείας όπως το Apache Hadoop YARN, το JBoss και τον Oracle WebLogic Server για να διεισδύσει σε ευαίσθητους στόχους.
Διαβάστε επίσης: Γιατί το Temu θεωρείται “επικίνδυνο κακόβουλο λογισμικό (malware)”;
“Το k4spreader είναι γραμμένο σε cgo και προσφέρει λειτουργίες όπως η επιμονή του συστήματος, η λήψη και ενημέρωση, καθώς και η διανομή άλλου κακόβουλου λογισμικού ;etoimo για εκτέλεση,” ανέφερε η εταιρεία. Επιπλέον, σημείωσε ότι είναι σχεδιασμένο να απενεργοποιεί το τείχος προστασίας (firewall), να εξουδετερώνει ανταγωνιστικά botnets (π.χ. kinsing) και να αναφέρει την κατάσταση λειτουργίας.
Πηγή: thehackernews
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/583265/h-symmoria-8220-gang-ekmetaleevetai-ton-oracle-weblogic-server-gia-eksoryksh-kryptonomismatwn/&media=https://www.secnews.gr/wp-content/uploads/2024/06/8220-gang-bitcoin.png&description=Ερευνητές ασφαλείας έχουν αποκαλύψει λεπτομέρειες σχετικά με τη δραστηριότητα της συμμορίας "8220 Gang", η οποία εκμεταλλεύεται ευπάθειες στον Oracle WebLogic Server, με σκοπό την εξόρυξη κρυπτονομισμάτων.){kind=link}