El notorio grupo de cryptojacking rastreado como 8220 Pandilla ha sido visto armando una falla de seguridad de seis años en los servidores Oracle WebLogic para atrapar instancias vulnerables en una red de bots y distribuir malware de minería de criptomonedas.
El defecto en cuestión es CVE-2017-3506 (puntaje CVSS: 7.4), que, cuando se explota con éxito, podría permitir que un atacante no autenticado ejecute comandos arbitrarios de forma remota.
«Esto permite a los atacantes obtener acceso no autorizado a datos confidenciales o comprometer todo el sistema», dijo Sunil Bharti, investigador de Trend Micro. dicho en un informe publicado esta semana.
8220 pandilla, documentado por primera vez por Cisco Talos a fines de 2018, se llama así por su uso original del puerto 8220 para comunicaciones de red de comando y control (C2).
«8220 Gang identifica objetivos mediante el escaneo de hosts mal configurados o vulnerables en la Internet pública», SentinelOne anotado el año pasado. «Se sabe que 8220 Gang hace uso de ataques de fuerza bruta SSH después de la infección con el fin de moverse lateralmente dentro de una red comprometida».
A principios de este año, Sydig detalló los ataques montados por el grupo de crimeware de «baja habilidad» entre noviembre de 2022 y enero de 2023 que tienen como objetivo violar los servidores web vulnerables Oracle WebLogic y Apache e implementar un minero de criptomonedas.
También se ha observado que hace uso de un descargador de malware estándar conocido como PureCrypter, así como de un encriptador con nombre en código ScrubCrypt para ocultar la carga útil del minero y evadir la detección por parte del software de seguridad.
En la última cadena de ataques documentada por Trend Micro, la vulnerabilidad de Oracle WebLogic Server se aprovecha para entregar una carga útil de PowerShell, que luego se usa para crear otro script de PowerShell ofuscado en la memoria.
Este script de PowerShell recién creado deshabilita la interfaz de análisis antimalware de Windows (AARMI) y lanza un binario de Windows que posteriormente llega a un servidor remoto para recuperar una carga útil «meticulosamente ofuscada».
Zero Trust + Deception: ¡Aprende a ser más astuto que los atacantes!
Descubra cómo Deception puede detectar amenazas avanzadas, detener el movimiento lateral y mejorar su estrategia Zero Trust. ¡Únase a nuestro seminario web perspicaz!
El archivo DLL intermedio, por su parte, está configurado para descargar un minero de criptomonedas de uno de los tres servidores C2: 179.43.155[.]202, trabajo.letmaker[.]superior y su-94.letmaker[.]arriba: utilizando los puertos TCP 9090, 9091 o 9092.
Trend Micro dijo que los ataques recientes también implicaron el uso indebido de una herramienta legítima de Linux llamada lwp-descargar para guardar archivos arbitrarios en el host comprometido.
«lwp-download es una utilidad de Linux presente en varias plataformas de forma predeterminada, y 8220 Gang, que hace que esto sea parte de cualquier rutina de malware, puede afectar a una serie de servicios incluso si se reutiliza más de una vez», dijo Bharti.
«Teniendo en cuenta la tendencia del actor de amenazas a reutilizar herramientas para diferentes campañas y abusar de herramientas legítimas como parte del arsenal, los equipos de seguridad de las organizaciones podrían verse desafiados a encontrar otras soluciones de detección y bloqueo para defenderse de los ataques que abusan de esta utilidad».