Pesquisadores de segurança lançaram mais luz sobre a operação de mineração de criptomoedas conduzida pelo Gangue 8220 explorando falhas de segurança conhecidas no Oracle WebLogic Server.
“O agente da ameaça emprega técnicas de execução sem arquivo, usando injeção reflexiva de DLL e de processo, permitindo que o código do malware seja executado somente na memória e evite mecanismos de detecção baseados em disco”, disseram os pesquisadores da Development Micro Ahmed Mohamed Ibrahim, Shubham Singh e Sunil Bharti em uma nova análise publicada hoje.
A empresa de segurança cibernética está rastreando o agente com motivação financeira sob o nome Water Sigbin, que é conhecido por usar vulnerabilidades no Oracle WebLogic Server, como CVE-2017-3506, CVE-2017-10271 e CVE-2023-21839 para acesso inicial e remover a carga útil do minerador por meio de uma técnica de carregamento em vários estágios.
Uma posição bem-sucedida é seguida pela implantação do script do PowerShell que é responsável por soltar um carregador de primeiro estágio (“wireguard2-3.exe”) que imita o aplicativo legítimo WireGuard VPN, mas, na realidade, inicia outro binário (“cvtres.exe”) na memória por meio de uma DLL (“Zxpus.dll”).
O executável injetado serve como um canal para carregar o carregador PureCrypter (“Tixrgtluffu.dll”) que, por sua vez, exfiltra informações de {hardware} para um servidor remoto e cria tarefas agendadas para executar o minerador, além de excluir os arquivos maliciosos do Microsoft Defender Antivirus.
Em resposta, o servidor de comando e controle (C2) responde com uma mensagem criptografada contendo os detalhes de configuração do XMRig, após a qual o carregador recupera e executa o minerador de um domínio controlado pelo invasor, mascarando-o como “AddinProcess.exe”, um binário legítimo da Microsoft.
O desenvolvimento ocorre no momento em que a equipe QiAnXin XLab detalhou uma nova ferramenta de instalação usada pela Gangue 8220, chamada k4spreader, desde pelo menos fevereiro de 2024 para entregar o botnet Tsunami DDoS e o programa de mineração PwnRig.
O malware, que está atualmente em desenvolvimento e tem uma versão shell, tem aproveitado falhas de segurança como Apache Hadoop YARN, JBoss e Oracle WebLogic Server para se infiltrar em alvos suscetíveis.
“O k4spreader é escrito em cgo, incluindo persistência do sistema, obtain e atualização, e liberação de outros malwares para execução”, disse a empresa, acrescentando que também foi projetado para desabilitar o firewall, encerrar botnets rivais (por exemplo, Kinsing) e imprimir o standing operacional.
