Майнеры-невидимки: 8220 Gang использует WireGuard для скрытия атак

Майнеры-невидимки: 8220 Gang использует WireGuard для скрытия атак

Как хакеры скрытно майнят на ваших серверах.

image

Исследователи безопасности раскрыли новые подробности операции по несанкционированному майнингу криптовалюты (криптоджекингу), проводимой группой 8220 Gang, используя уязвимости в Oracle WebLogic Server.

Эксперты из Trend Micro сообщили в своём свежем отчёте, что злоумышленники применяют техники бесфайлового выполнения, такие как Reflective DLL Loading. Это позволяет вредоносному ПО работать исключительно в памяти, избегая обнаружения на диске.

8220 Gang, также известная под названием Water Sigbin, часто использует в своих атаках уязвимости в Oracle WebLogic Server, включая CVE-2017-3506, CVE-2017-10271 и CVE-2023-21839. Указанные недостатки безопасности применяются для получения первоначального доступа, а также непосредственной загрузки криптомайнера.

После успешного проникновения злоумышленники запускают скрипт PowerShell, который загружает первый этап загрузчика («wireguard2-3.exe»). Этот файл маскируется под легитимное приложение WireGuard VPN, но на самом деле запускает другой исполняемый файл («cvtres.exe») прямо в памяти с помощью DLL («Zxpus.dll»).

Этот исполняемый файл служит для получения загрузчика PureCrypter («Tixrgtluffu.dll»), который отправляет информацию о системе на удалённый сервер и создаёт запланированные задачи в системе для активации майнера, а также добавляет вредоносные файлы в исключения антивируса Microsoft Defender.

Командный сервер отвечает зашифрованным сообщением, содержащим конфигурационные данные для XMRig, после чего загрузчик извлекает и выполняет майнер с домена, контролируемого злоумышленниками. Сам майнер маскируется под легитимный бинарный файл Microsoft («AddinProcess.exe»).

Эксперты отмечают, что данный метод позволяет злоумышленникам эффективно скрываться от традиционных методов обнаружения и защиты. Использование бесфайловых техник затрудняет обнаружение и удаление вредоносного ПО.

Помимо использования уязвимостей в Oracle WebLogic Server, группа 8220 Gang также известна эксплуатацией других уязвимостей для достижения своих целей. Их методы постоянно совершенствуются, что делает атаки группы всё более изощренными и опасными.

Основной мишенью этих хакеров являются серверы с недостаточной защитой и старыми обновлениями, что делает их лёгкой добычей для злоумышленников. Компаниям рекомендуется тщательно проверять и обновлять свои системы безопасности, чтобы избежать подобных атак.

Теория струн? У нас целый оркестр научных фактов!

От классики до авангарда — наука во всех жанрах

Настройтесь на нашу волну — подпишитесь