[ad_1]
Los investigadores de seguridad han arrojado más luz sobre la operación de minería de criptomonedas realizada por el 8220 pandilla explotando fallos de seguridad conocidos en Oracle WebLogic Server.
«El actor de amenazas emplea técnicas de ejecución sin archivos, utilizando reflexión de DLL e inyección de procesos, lo que permite que el código de malware se ejecute únicamente en la memoria y evite mecanismos de detección basados en disco», dijeron los investigadores de Trend Micro Ahmed Mohamed Ibrahim, Shubham Singh y Sunil Bharti. dicho en un nuevo análisis publicado hoy.
La empresa de ciberseguridad está siguiendo al actor con motivación financiera bajo el nombre de Water Sigbin, conocido por convertir en armas las vulnerabilidades en Oracle WebLogic Server como CVE-2017-3506, CVE-2017-10271y CVE-2023-21839 para acceso inicial y soltar la carga útil del minero mediante una técnica de carga de múltiples etapas.
Una entrada exitosa es seguida por la Implementación de un script de PowerShell que es responsable de colocar un cargador de primera etapa («wireguard2-3.exe») que imita la aplicación VPN WireGuard legítima, pero, en realidad, lanza otro binario («cvtres.exe») en la memoria mediante una DLL (» Zxpus.dll»).
El ejecutable inyectado sirve como conducto para cargar el Cargador PureCrypter («Tixrgtluffu.dll») que, a su vez, filtra información de hardware a un servidor remoto y crea tareas programadas para ejecutar el minero, además de excluir los archivos maliciosos de Microsoft Defender Antivirus.
En respuesta, el servidor de comando y control (C2) responde con un mensaje cifrado que contiene los detalles de configuración de XMRig, tras lo cual el cargador recupera y ejecuta el minero desde un dominio controlado por el atacante haciéndolo pasar por «AddinProcess.exeun binario legítimo de Microsoft.
El desarrollo se produce cuando el equipo de QiAnXin XLab detalló una nueva herramienta de instalación utilizada por 8220 Gang llamada k4spreader desde al menos febrero de 2024 para entregar el tsunami La botnet DDoS y el Plataforma de perforación programa minero.
El malware, que actualmente está en desarrollo y tiene una versión shell, ha estado aprovechando fallas de seguridad como Apache Hadoop HILO, Jefe Jy Servidor Oracle WebLogic para infiltrarse en objetivos susceptibles.
«k4spreader está escrito en cgo, incluida la persistencia del sistema, la descarga y actualización automática y la liberación de otro malware para su ejecución», dijo la empresa. dichoy agregó que también está diseñado para desactivar el firewall, terminar botnets rivales (por ejemplo, kinsing) e imprimir el estado operativo.
[ad_2]
Enlace fuente
