Kötü şöhretli cryptojacking grubu şu şekilde izlendi: 8220 Çetesi Oracle WebLogic sunucularındaki altı yıllık bir güvenlik açığını, savunmasız örnekleri bir botnet’e hapsetmek ve kripto para madenciliği kötü amaçlı yazılımını dağıtmak için silah haline getirdiği tespit edildi.
Söz konusu kusur CVE-2017-3506 (CVSS puanı: 7.4), başarıyla istismar edildiğinde, kimliği doğrulanmamış bir saldırganın uzaktan rasgele komutlar yürütmesine izin verebilir.
Trend Micro araştırmacısı Sunil Bharti, “Bu, saldırganların hassas verilere yetkisiz erişim elde etmesine veya tüm sistemi tehlikeye atmasına olanak tanıyor.” söz konusu bu hafta yayınlanan bir raporda.
8220 Çetesi, ilk belgelenmiş 2018’in sonlarında Cisco Talos tarafından, komuta ve kontrol (C2) ağ iletişimleri için 8220 numaralı bağlantı noktasını orijinal olarak kullanmasından dolayı bu adı almıştır.
SentinelOne, “8220 Gang, halka açık internetteki yanlış yapılandırılmış veya savunmasız ana bilgisayarları tarayarak hedefleri belirliyor” dedi. kayıt edilmiş geçen sene. “8220 Gang’ın, güvenliği ihlal edilmiş bir ağ içinde yanal hareket amacıyla enfeksiyon sonrası SSH kaba kuvvet saldırılarını kullandığı biliniyor.”
Bu yılın başlarında Sydig, “düşük beceriye sahip” suç yazılımı grubu tarafından Kasım 2022 ile Ocak 2023 arasında düzenlenen ve savunmasız Oracle WebLogic ve Apache web sunucularını ihlal etmeyi ve bir kripto para madencisi kurmayı amaçlayan saldırıları ayrıntılı olarak açıkladı.
Madenci yükünü gizlemek ve güvenlik yazılımı tarafından tespit edilmekten kaçınmak için PureCrypter olarak bilinen kullanıma hazır bir kötü amaçlı yazılım indiricisinin yanı sıra ScrubCrypt kod adlı bir crypter kullandığı da gözlemlendi.
Trend Micro tarafından belgelenen en son saldırı zincirinde, Oracle WebLogic Server güvenlik açığı, daha sonra bellekte gizlenmiş başka bir PowerShell komut dosyası oluşturmak için kullanılan bir PowerShell yükü sağlamak için kullanılır.
Bu yeni oluşturulan PowerShell komut dosyası, Windows Kötü Amaçlı Yazılımdan Koruma Tarama Arabirimini (AMSI) “titizlikle gizlenmiş” bir yükü almak için daha sonra uzak bir sunucuya ulaşan bir Windows ikili dosyasını algılar ve başlatır.
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
Ara DLL dosyası, kendi adına, üç C2 sunucusundan birinden (179.43.155) bir kripto para madencisini indirecek şekilde yapılandırılmıştır.[.]202, iş.letmaker[.]top ve su-94.letmaker[.]üst – 9090, 9091 veya 9092 numaralı TCP bağlantı noktalarını kullanarak.
Trend Micro, son saldırıların meşru bir Linux aracının kötüye kullanılmasını da gerektirdiğini söyledi. lwp-indir güvenliği ihlal edilmiş ana bilgisayardaki rastgele dosyaları kaydetmek için.
Bharti, “lwp-download, varsayılan olarak birkaç platformda bulunan bir Linux yardımcı programıdır ve 8220 Gang, bunu herhangi bir kötü amaçlı yazılım rutininin bir parçası haline getirirse, birden fazla kez yeniden kullanılsa bile bir dizi hizmeti etkileyebilir” dedi.
“Tehdit aktörünün araçları farklı kampanyalar için yeniden kullanma ve cephaneliğin bir parçası olarak meşru araçları kötüye kullanma eğilimi göz önüne alındığında, kuruluşların güvenlik ekipleri, bu aracı kötüye kullanan saldırıları savuşturmak için başka tespit ve engelleme çözümleri bulmaya zorlanabilir.”
Geliştirme, Kaspersky’nin bir PowerShell komut dosyasından yararlanan kısmi çok adımlı bir enfeksiyon dizisini ifşa etmesiyle geldi. Minas“standart bir uygulama kullanıyor ve varlığını gizlemeyi hedefliyor” dedi.
Rus siber güvenlik şirketi, “Tespit etme zorluğu, şifreleme, isimlerin rastgele oluşturulması ve kaçırma ve yerleştirme tekniklerinin kullanılması nedeniyle elde ediliyor. Ayrıca, kalıcılık teknikleri kullanarak virüslü sistemde kalma yeteneğine de sahip.”
