8220 Gang está aprovechando las vulnerabilidades en servidores Oracle WebLogic para minería de criptomonedas

Los investigadores de seguridad han proporcionado más detalles sobre la operación de minería de criptomonedas realizada por la banda 8220, aprovechando vulnerabilidades conocidas en el servidor Oracle WebLogic.

«El actor de amenaza utiliza técnicas de ejecución sin archivos, empleando inyección de procesos y DLL reflectiva, lo que permite que el código malicioso se ejecute exclusivamente en la memoria y evite los mecanismos de detección basados en el disco», explicaron los investigadores de Trend Micro, Ahmed Mohamed Ibrahim, Shubham Singh y Sunil Bharti en un nuevo análisis publicado hoy.

La firma de ciberseguridad está siguiendo a este actor motivado por ganancias financieras bajo el nombre Water Sigbin, conocido por explotar vulnerabilidades en Oracle WebLogic Server como CVE-2017-3506, CVE-2017-10271 y CVE-2023-21839 para obtener acceso inicial y desplegar la carga del minero mediante una técnica de carga en varias etapas.

Después de establecer un punto de apoyo exitoso, se despliega un script de PowerShell encargado de soltar un cargador de primera etapa («wireguard2-3.exe») que imita la aplicación legítima de VPN WireGuard, pero que en realidad lanza otro binario («cvtres.exe») en la memoria mediante una DLL («Zxpus.dll»).

El ejecutable inyectado actúa como un conducto para cargar el cargador PureCrypter («Tixrgtluffu.dll»), que, a su vez, exfiltra información de hardware a un servidor remoto y crea tareas programadas para ejecutar el minero, además de excluir los archivos maliciosos del antivirus Microsoft Defender.

En respuesta, el servidor de comando y control (C2) envía un mensaje encriptado que contiene los detalles de configuración de XMRig, después de lo cual el cargador recupera y ejecuta el minero desde un dominio controlado por el atacante, disfrazándolo como «AddinProcess.exe«, un binario legítimo de Microsoft.

El avance se produce mientras el equipo de QiAnXin XLab ha detallado una nueva herramienta de instalación utilizada por la banda 8220, conocida como k4spreader, desde al menos febrero de 2024, para distribuir el botnet Tsunami DDoS y el programa de minería PwnRig.

El malware, que está en desarrollo y tiene una versión de shell, ha estado explotando vulnerabilidades de seguridad en Apache Hadoop YARN, JBoss y Oracle WebLogic Server para infiltrarse en objetivos vulnerables.

«k4spreader está escrito en cgo, incluye persistencia del sistema, descarga y actualización automática, y la liberación de otro malware para su ejecución», indicó la compañía, añadiendo que también está diseñado para desactivar el firewall, eliminar botnets rivales (por ejemplo, kinsing) e informar sobre su estado operativo.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *