Los investigadores de seguridad han arrojado m\u00e1s luz sobre la operaci\u00f3n de miner\u00eda de criptomonedas realizada por el 8220 pandilla<\/strong> explotando fallos de seguridad conocidos en Oracle WebLogic Server.<\/p>\n “El actor de amenazas emplea t\u00e9cnicas de ejecuci\u00f3n sin archivos, utilizando la reflexi\u00f3n de DLL y la inyecci\u00f3n de procesos, lo que permite que el c\u00f3digo de malware se ejecute \u00fanicamente en la memoria y evite los mecanismos de detecci\u00f3n basados \u200b\u200ben disco”, afirmaron los investigadores de Trend Micro Ahmed Mohamed Ibrahim, Shubham Singh y Sunil Bharti. dicho<\/a> en un nuevo an\u00e1lisis publicado hoy.<\/p>\n La empresa de ciberseguridad est\u00e1 rastreando al actor con motivaciones financieras bajo el nombre de Water Sigbin, que es conocido por utilizar vulnerabilidades en Oracle WebLogic Server como arma. CVE-2017-3506<\/a>, CVE-2017-10271<\/a>y CVE-2023-21839<\/a> para el acceso inicial y la descarga de la carga \u00fatil del minero a trav\u00e9s de la t\u00e9cnica de carga de m\u00faltiples etapas.<\/p>\n Una introducci\u00f3n exitosa es seguida por la implementaci\u00f3n de un script de PowerShell que es responsable de colocar un cargador de primera etapa (“wireguard2-3.exe”) que imita la aplicaci\u00f3n VPN WireGuard leg\u00edtima, pero, en realidad, lanza otro binario (“cvtres.exe”) en la memoria por medio de una DLL (“Zxpus.dll”).<\/p>\n El ejecutable inyectado sirve como conducto para cargar el cargador PureCrypter (“Tixrgtluffu.dll”) que, a su vez, filtra informaci\u00f3n de hardware a un servidor remoto y crea tareas programadas para ejecutar el minero y excluye los archivos maliciosos de Microsoft Defender Antivirus.<\/p>\n En respuesta, el servidor de comando y control (C2) responde con un mensaje cifrado que contiene los detalles de configuraci\u00f3n de XMRig, tras lo cual el cargador recupera y ejecuta el minero desde un dominio controlado por el atacante haci\u00e9ndolo pasar por “AddinProcess.exe<\/a>un binario leg\u00edtimo de Microsoft.<\/p>\n El desarrollo se produce cuando el equipo de QiAnXin XLab detall\u00f3 una nueva herramienta de instalaci\u00f3n utilizada por 8220 Gang llamada k4spreader desde al menos febrero de 2024 para entregar la botnet Tsunami DDoS y el programa de miner\u00eda PwnRig.<\/p>\n El malware, que actualmente est\u00e1 en desarrollo y tiene una versi\u00f3n shell, ha estado aprovechando fallas de seguridad como YARN de Apache Hadoop<\/a>, JBoss<\/a>y Oracle WebLogic Server para infiltrarse en objetivos susceptibles.<\/p>\n “k4spreader est\u00e1 escrito en cgo, lo que incluye la persistencia del sistema, la descarga y actualizaci\u00f3n del mismo y la liberaci\u00f3n de otro malware para su ejecuci\u00f3n”, dijo la empresa. dicho<\/a>y agrega que tambi\u00e9n est\u00e1 dise\u00f1ado para desactivar el firewall, eliminar botnets rivales (por ejemplo, kinsing) e imprimir el estado operativo.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/06\/8220-Gang-explota-las-fallas-del-servidor-Oracle-WebLogic-para.png\")
<\/a><\/center><\/section>\n<\/a><\/div>\n