- 13,854
- 20
- 8 Ноя 2022
С развитием облачных технологий группировка изменила свои цели в пользу технологий Oracle.
Специалисты Trend Micro Для просмотра ссылки Войдиили Зарегистрируйся новую кампанию группировки 8220 (8220 Mining Group), в ходе которой хакеры эксплуатировали 6-летнюю уязвимость Oracle WebLogic для доставки криптомайнера в зараженную систему.
В атаке использовалась уязвимость Для просмотра ссылки Войдиили Зарегистрируйся (CVSS: 7.4), которая влияет на компонент WLS Security в Oracle WebLogic и позволяет злоумышленникам удаленно выполнять произвольные команды через HTTP -запрос с помощью специально созданного XML-документа. Недостаток дает киберпреступникам возможность получать несанкционированный доступ к конфиденциальным данным или компрометировать весь систему.
Для проникновения в систему 8220 эксплуатировала HTTP URI “wls-wsat/CoordinatorPortType”. После входа хакеры доставили PowerShell-скрипт, который загрузил исполняемый файл (в том числе криптомайнеры) с IP-адреса сервера управления и контроля ( C2-сервер ).
Исполняемый файл загрузил DLL -библиотеку, которая внедряется непосредственно в процесс MS Build. DLL-файл тщательно обфусцирован для усложнения работы аналитиков. Информация о конфигурации DLL-файла закодирована в Base64, а новый процесс связывается с одним из трех C2-серверов с использованием TCP-портов 9090, 9091 или 9092 для загрузки криптомайнера.
Цепочка атаки 8220
В недавних атаках группа также использовала “lwp-download”, утилиту Linux для загрузки файла по указанному URL. Эксперты также наблюдали использование этой утилиты для атаки на системы Windows.
Злоупотребление «lwp-download» может ожидаться в краткосрочной перспективе для компрометации и нацеливания на другие платформы. Несмотря на повторное использование старых инструментов и C2-серверов, группа 8220 начала атаковать системы Windows и использовать новые файловые и C2-серверы для обхода обнаружений.
Ранее исследователи безопасности из Fortinet FortiGuard Labs сообщали, что Для просмотра ссылки Войдиили Зарегистрируйся , а затем осуществляет криптоджекинг. Цепочка атак начинается с эксплуатации уязвимых серверов Oracle WebLogic для загрузки PowerShell-сценария, содержащего ScrubCrypt.
Специалисты называют участников 8220 Для просмотра ссылки Войдиили Зарегистрируйся , которые проникают на хосты AWS, Azure, GCP, Alitun и QCloud, используя уязвимости в Docker, Redis, Confluence и Apache. Кроме того, у группировки есть собственный криптомайнер под названием PwnRig, основанный на майнере XMRig. PwnRig использует поддельный поддомен ФБР с IP-адресом, указывающим на государственный ресурс Бразилии.
Специалисты Trend Micro Для просмотра ссылки Войди
В атаке использовалась уязвимость Для просмотра ссылки Войди
Для проникновения в систему 8220 эксплуатировала HTTP URI “wls-wsat/CoordinatorPortType”. После входа хакеры доставили PowerShell-скрипт, который загрузил исполняемый файл (в том числе криптомайнеры) с IP-адреса сервера управления и контроля ( C2-сервер ).
Исполняемый файл загрузил DLL -библиотеку, которая внедряется непосредственно в процесс MS Build. DLL-файл тщательно обфусцирован для усложнения работы аналитиков. Информация о конфигурации DLL-файла закодирована в Base64, а новый процесс связывается с одним из трех C2-серверов с использованием TCP-портов 9090, 9091 или 9092 для загрузки криптомайнера.
Цепочка атаки 8220
В недавних атаках группа также использовала “lwp-download”, утилиту Linux для загрузки файла по указанному URL. Эксперты также наблюдали использование этой утилиты для атаки на системы Windows.
Злоупотребление «lwp-download» может ожидаться в краткосрочной перспективе для компрометации и нацеливания на другие платформы. Несмотря на повторное использование старых инструментов и C2-серверов, группа 8220 начала атаковать системы Windows и использовать новые файловые и C2-серверы для обхода обнаружений.
Ранее исследователи безопасности из Fortinet FortiGuard Labs сообщали, что Для просмотра ссылки Войди
Специалисты называют участников 8220 Для просмотра ссылки Войди
- Источник новости
- www.securitylab.ru
