Les chercheurs en sécurité ont fait la lumière sur l’opération d’extraction de cryptomonnaie menée par le gang 8220 en exploitant les failles de sécurité connues du serveur Oracle WebLogic.

“L’auteur de la menace utilise des techniques d’exécution sans fichier, utilisant la réflexion de DLL et l’injection de processus, permettant au code malveillant de s’exécuter uniquement en mémoire et d’éviter les mécanismes de détection basés sur le disque”, ont déclaré Ahmed Mohamed Ibrahim, Shubham Singh et Sunil Bharti, chercheurs de Trend Micro . nouvelle analyse publiée aujourd’hui.

La société de cybersécurité suit l’acteur motivé financièrement sous le nom de Water Sigbin, connu pour exploiter les vulnérabilités du serveur Oracle WebLogic telles que CVE-2017-3506 , CVE-2017-10271 et CVE-2023-21839 pour un accès initial et une suppression. la charge utile du mineur via une technique de chargement en plusieurs étapes.

Une prise en main réussie est suivie par le déploiement d’un script PowerShell responsable de la suppression d’un chargeur de première étape (« wireguard2-3.exe ») qui imite l’application VPN WireGuard légitime, mais, en réalité, lance un autre binaire (« cvtres.exe ») en mémoire au moyen d’une DLL (« Zxpus.dll »).

L’exécutable injecté sert de conduit pour charger le chargeur PureCrypter (« Tixrgtluffu.dll ») qui, à son tour, exfiltre les informations matérielles vers un serveur distant et crée des tâches planifiées pour exécuter le mineur ainsi qu’exclure les fichiers malveillants de Microsoft Defender Antivirus.

En réponse, le serveur de commande et de contrôle (C2) répond par un message crypté contenant les détails de configuration de XMRig, après quoi le chargeur récupère et exécute le mineur à partir d’un domaine contrôlé par un attaquant en le faisant passer pour ” AddinProcess.exe “, un binaire Microsoft légitime.

Ce développement intervient alors que l’équipe QiAnXin XLab a détaillé un nouvel outil d’installation utilisé par le gang 8220 appelé k4spreader depuis au moins février 2024 pour livrer le botnet DDoS Tsunami et le programme minier PwnRig .

Le malware, actuellement en cours de développement et doté d’une version shell, exploite des failles de sécurité telles que Apache Hadoop YARN , JBoss et Oracle WebLogic Server pour infiltrer des cibles sensibles.

“k4spreader est écrit en cgo, y compris la persistance du système, le téléchargement et la mise à jour lui-même, et la publication d’autres logiciels malveillants pour exécution”, a déclaré la société , ajoutant qu’il est également conçu pour désactiver le pare-feu, mettre fin aux botnets rivaux (par exemple, kinsing) et imprimer l’état opérationnel. .