Veiligheidsonderzoekers hebben meer licht geworpen op de cryptocurrency mining-operatie die wordt uitgevoerd door de 8220 Bende door misbruik te maken van bekende beveiligingslekken in de Oracle WebLogic Server.
“De dreigingsactor maakt gebruik van technieken voor bestandsloze uitvoering, met behulp van DLL-reflectieve en procesinjectie, waardoor de malwarecode uitsluitend in het geheugen kan worden uitgevoerd en detectiemechanismen op schijfbasis worden omzeild”, aldus Trend Micro-onderzoekers Ahmed Mohamed Ibrahim, Shubham Singh en Sunil Bharti in een nieuwe analyse die vandaag is gepubliceerd.
Het cybersecuritybedrijf volgt de financieel gemotiveerde actor onder de naam Water Sigbin. Het is bekend dat deze kwetsbaarheden in Oracle WebLogic Server, zoals CVE-2017-3506, CVE-2017-10271 en CVE-2023-21839, misbruikt voor initiële toegang en de miner-payload via een multi-stage loading-techniek laat vallen.
Een succesvolle implementatie wordt gevolgd door de implementatie van een PowerShell-script dat verantwoordelijk is voor het plaatsen van een loader voor de eerste fase (“wireguard2-3.exe”) die de legitieme WireGuard VPN-toepassing nabootst, maar in werkelijkheid een ander binair bestand (“cvtres.exe”) in het geheugen start via een DLL (“Zxpus.dll”).
Het geïnjecteerde uitvoerbare bestand fungeert als een kanaal om de PureCrypter-loader (“Tixrgtluffu.dll”) te laden. Deze loader verzendt op zijn beurt hardware-informatie naar een externe server en maakt geplande taken aan om de miner uit te voeren. Daarnaast worden de schadelijke bestanden uitgesloten van Microsoft Defender Antivirus.
Als reactie hierop reageert de command-and-control (C2)-server met een gecodeerd bericht met daarin de XMRig-configuratiegegevens, waarna de lader de miner ophaalt en uitvoert vanuit een door de aanvaller gecontroleerd domein door het zich voor te doen als ‘AddinProcess.exe’, een legitiem binair Microsoft-bestand.
De ontwikkeling komt op het moment dat het QiAnXin XLab-team een nieuwe installatietool heeft beschreven die door de 8220 Gang wordt gebruikt, genaamd k4spreader, sinds ten minste februari 2024 om het Tsunami DDoS-botnet en het PwnRig-mijnprogramma te leveren.
De malware, die momenteel in ontwikkeling is en een shell-versie heeft, maakt gebruik van beveiligingsfouten zoals Apache Hadoop YARN, JBoss en Oracle WebLogic Server om gevoelige doelen te infiltreren.
“k4spreader is geschreven in cgo, inclusief systeempersistentie, het downloaden en updaten van zichzelf, en het vrijgeven van andere malware voor uitvoering”, aldus het bedrijf, eraan toevoegend dat het ook is ontworpen om de firewall uit te schakelen, rivaliserende botnets te beëindigen (bijvoorbeeld kinsing) en de operationele status af te drukken. .
