28 de junio de 2024Sala de prensaLos investigadores de seguridad de malware/criptomonedas han arrojado más luz sobre la operación de minería de criptomonedas realizada por 8220 Gang mediante la explotación de fallas de seguridad conocidas en Oracle WebLogic Server. «El actor de amenazas emplea técnicas de ejecución sin archivos, utilizando reflexión de DLL e inyección de procesos, lo que permite que el código de malware se ejecute únicamente en la memoria y evite mecanismos de detección basados ​​en disco», dijeron en un comunicado los investigadores de Trend Micro Ahmed Mohamed Ibrahim, Shubham Singh y Sunil Bharti. Nuevo análisis publicado hoy. La firma de ciberseguridad está rastreando al actor con motivación financiera bajo el nombre de Water Sigbin, que es conocido por utilizar vulnerabilidades en Oracle WebLogic Server como CVE-2017-3506, CVE-2017-10271 y CVE-2023-21839 para acceso inicial y eliminación. la carga útil del minero mediante una técnica de carga de múltiples etapas. A un punto de apoyo exitoso le sigue la implementación del script PowerShell que es responsable de eliminar un cargador de primera etapa («wireguard2-3.exe») que imita la aplicación VPN WireGuard legítima, pero, en realidad, lanza otro binario («cvtres.exe»). «) en la memoria mediante una DLL («Zxpus.dll»). El ejecutable inyectado sirve como conducto para cargar el cargador PureCrypter («Tixrgtluffu.dll») que, a su vez, filtra información del hardware a un servidor remoto y crea tareas programadas para ejecutar el minero, además de excluir los archivos maliciosos del antivirus Microsoft Defender. . En respuesta, el servidor de comando y control (C2) responde con un mensaje cifrado que contiene los detalles de configuración de XMRig, tras lo cual el cargador recupera y ejecuta el minero desde un dominio controlado por el atacante haciéndole pasar por «AddinProcess.exe», un binario legítimo de Microsoft. El desarrollo se produce cuando el equipo de QiAnXin XLab detalló una nueva herramienta de instalación utilizada por 8220 Gang llamada k4spreader desde al menos febrero de 2024 para entregar la botnet Tsunami DDoS y el programa de minería PwnRig. El malware, que actualmente está en desarrollo y tiene una versión shell, ha estado aprovechando fallas de seguridad como Apache Hadoop YARN, JBoss y Oracle WebLogic Server para infiltrarse en objetivos susceptibles. «k4spreader está escrito en cgo, incluida la persistencia del sistema, la descarga y actualización del mismo, y la liberación de otro malware para su ejecución», dijo la compañía, agregando que también está diseñado para desactivar el firewall, terminar con botnets rivales (por ejemplo, kinsing) e imprimir el estado operativo. . ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.