Новости Новые детали майнинг-операции 8220 Gang: бесфайловые техники и имитация WireGuard

NewsMaker

I'm just a script
Премиум
13,854
20
8 Ноя 2022
Когда классическое вредоносное ПО становится пережитком прошлого.


is30nvd97p07a3wkgxqdwvv4kq80ml0x.jpg


Исследователи безопасности раскрыли новые подробности операции по несанкционированному майнингу криптовалюты (криптоджекингу), проводимой группой 8220 Gang, используя уязвимости в Oracle WebLogic Server .

Эксперты из Trend Micro сообщили в своём Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники применяют техники бесфайлового выполнения, такие как Reflective DLL Loading . Это позволяет вредоносному ПО работать исключительно в памяти, избегая обнаружения на диске.

8220 Gang, также известная под названием Water Sigbin, часто использует в своих атаках уязвимости в Oracle WebLogic Server, включая Для просмотра ссылки Войди или Зарегистрируйся Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся Указанные недостатки безопасности применяются для получения первоначального доступа, а также непосредственной загрузки криптомайнера.

После успешного проникновения злоумышленники запускают скрипт PowerShell, который загружает первый этап загрузчика («wireguard2-3.exe»). Этот файл маскируется под легитимное приложение WireGuard VPN, но на самом деле запускает другой исполняемый файл («cvtres.exe») прямо в памяти с помощью DLL («Zxpus.dll»).

Этот исполняемый файл служит для получения загрузчика PureCrypter («Tixrgtluffu.dll»), который отправляет информацию о системе на удалённый сервер и создаёт запланированные задачи в системе для активации майнера, а также добавляет вредоносные файлы в исключения антивируса Microsoft Defender.

Командный сервер отвечает зашифрованным сообщением, содержащим конфигурационные данные для XMRig, после чего загрузчик извлекает и выполняет майнер с домена, контролируемого злоумышленниками. Сам майнер маскируется под легитимный бинарный файл Microsoft («AddinProcess.exe»).

Эксперты отмечают, что данный метод позволяет злоумышленникам эффективно скрываться от традиционных методов обнаружения и защиты. Использование бесфайловых техник затрудняет обнаружение и удаление вредоносного ПО.

Помимо использования уязвимостей в Oracle WebLogic Server, группа 8220 Gang также известна эксплуатацией других уязвимостей для достижения своих целей. Их методы постоянно совершенствуются, что делает атаки группы всё более изощренными и опасными.

Основной мишенью этих хакеров являются серверы с недостаточной защитой и старыми обновлениями, что делает их лёгкой добычей для злоумышленников. Компаниям рекомендуется тщательно проверять и обновлять свои системы безопасности, чтобы избежать подобных атак.
 
Источник новости
www.securitylab.ru

Похожие темы