Các nhà nghiên cứu bảo mật đã làm sáng tỏ hơn về hoạt động khai thác tiền điện tử được thực hiện bởi 8220 Gang bằng cách khai thác các lỗ hổng bảo mật đã biết trong Oracle WebLogic Server.
"Tác nhân đe dọa sử dụng các kỹ thuật thực thi fileless, sử dụng DLL reflective và process injection, cho phép mã phần mềm độc hại chỉ chạy trong bộ nhớ và tránh các cơ chế phát hiện dựa trên đĩa", các nhà nghiên cứu Ahmed Mohamed Ibrahim, Shubham Singh và Sunil Bharti của Trend Micro cho biết trong một phân tích mới được công bố hôm nay.
Công ty an ninh mạng đang theo dõi tác nhân có động cơ tài chính dưới cái tên Water Sigbin, được biết đến là vũ khí hóa các lỗ hổng trong Oracle WebLogic Server như CVE-2017-3506, CVE- 2017-10271 và CVE-2023-21839 để truy cập ban đầu và thả tải trọng của thợ đào thông qua kỹ thuật tải nhiều giai đoạn.
Tiếp theo là việc triển khai tập lệnh PowerShell chịu trách nhiệm thả trình tải giai đoạn đầu ("wireguard2-3.exe") bắt chước ứng dụng WireGuard VPN hợp pháp, nhưng trên thực tế, khởi chạy một tệp nhị phân khác ("cvtres.exe") trong bộ nhớ bằng DLL ("Zxpus.dll").
Tệp thực thi được tiêm đóng vai trò như một ống dẫn để tải bộ tải PureCrypter ("Tixrgtluffu.dll"), từ đó lọc thông tin phần cứng đến máy chủ từ xa và tạo các tác vụ theo lịch trình để chạy trình khai thác cũng như loại trừ các tệp độc hại khỏi Microsoft Defender Antivirus.
Đáp lại, máy chủ chỉ huy và kiểm soát (C2) phản hồi bằng một thông điệp được mã hóa có chứa chi tiết cấu hình XMRig, sau đó trình tải truy xuất và thực thi công cụ khai thác từ miền do kẻ tấn công kiểm soát bằng cách giả mạo nó là "AddinProcess.exe", một tệp nhị phân hợp pháp của Microsoft.
Sự phát triển này diễn ra khi nhóm QiAnXin XLab trình bày chi tiết một công cụ cài đặt mới được sử dụng bởi 8220 Gang được gọi là k4spreader kể từ ít nhất là tháng 2 năm 2024 để cung cấp botnet DDoS sóng thần và chương trình khai thác PwnRig.
Phần mềm độc hại, hiện đang được phát triển và có phiên bản shell, đã tận dụng các lỗ hổng bảo mật như Apache Hadoop YARN, JBoss và Oracle WebLogic Server để xâm nhập vào các mục tiêu nhạy cảm.
"K4Spreader được viết bằng CGO, bao gồm tính bền bỉ của hệ thống, tự tải xuống và cập nhật và phát hành phần mềm độc hại khác để thực thi", công ty cho biết thêm rằng nó cũng được thiết kế để vô hiệu hóa tường lửa, chấm dứt các botnet đối thủ (ví dụ: kinsing) và in trạng thái hoạt động.