8220 Çetesi, Kripto Para Madenciliği İçin Oracle WebLogic Server Açıklarını Kullanıyor

01.07.2024

8220 Çetesi'nin Oracle WebLogic Server'daki bilinen güvenlik açıklarını kullanarak gerçekleştirdiği kripto para madenciliği faaliyetleri hakkında güvenlik araştırmacıları ek bilgiler ekledi.

Trend Micro'dan Ahmed Mohamed Ibrahim, Shubham Singh ve Sunil Bharti, son analizlerinde grubun dosyasız yürütme teknikleri kullandığını belirtti. Bu, zararlı içeiğin bellekte çalışmasını sağlayan ve disk tabanlı tespitlerden kaçınan DLL yansımalı ve süreç enjeksiyon yöntemlerini içerir.

Su Sigbin olarak adlandırılan grup, başlangıç erişimi sağlamak için Oracle WebLogic Server'daki CVE-2017-3506, CVE-2017-10271 ve CVE-2023-21839 gibi güvenlik açıklarını hedefliyor. Madenci yükünü teslim etmek için çok aşamalı bir yükleme tekniği kullanıyorlar.

Bir dayanak noktası kurulduktan sonra, bir PowerShell betiği, meşru WireGuard VPN uygulaması gibi görünen ancak aslında bellek üzerinden başka bir ikili dosyayı ("cvtres.exe") başlatan birinci aşama yükleyici ("wireguard2-3.exe") düşürür. Bu yürütülebilir dosya, ardından donanım bilgilerini uzaktaki bir sunucuya dışa aktaran, madenciyi çalıştırmak için zamanlanmış görevler oluşturan ve Microsoft Defender Antivirus'ten zararlı dosyaları hariç tutan PureCrypter yükleyicisini ("Tixrgtluffu.dll") yükler.

Komuta ve kontrol sunucusu, XMRig yapılandırma ayrıntılarıyla şifrelenmiş bir mesaj gönderir, ardından yükleyici madenciyi alır ve çalıştırır, bu işlem meşru bir Microsoft ikili dosyası olan "AddinProcess.exe" olarak kamufle edilir.

Ek olarak, QiAnXin XLab, Şubat 2024'ten bu yana, 8220 Çetesi'nin Tsunami DDoS botneti ve PwnRig madencilik programını dağıtmak için k4spreader adlı yeni bir yükleyici araç kullandığını bildirdi. Bu kötü amaçlı yazılım, hedeflere sızmak için Apache Hadoop YARN, JBoss ve Oracle WebLogic Server'daki güvenlik açıklarını kullanır. cgo ile yazılmış olan k4spreader, sistemde kalıcılık, kendini güncelleme yetenekleri ve güvenlik duvarlarını devre dışı bırakma, rakip botnetleri (örneğin kinsing) sonlandırma ve operasyonel durumu yazdırma yeteneklerini içerir.