Майнеры-невидимки: 8220 Gang использует WireGuard для скрытия атак

Исследователи безопасности раскрыли новые подробности операции по несанкционированному майнингу криптовалюты (криптоджекингу), проводимой группой 8220 Gang, используя уязвимости в Oracle WebLogic Server.

Эксперты из Trend Micro сообщили в своём свежем отчёте, что злоумышленники применяют техники бесфайлового выполнения, такие как Reflective DLL Loading. Это позволяет вредоносному ПО работать исключительно в памяти, избегая обнаружения на диске.

8220 Gang, также известная под названием Water Sigbin, часто использует в своих атаках уязвимости в Oracle WebLogic Server, включая CVE-2017-3506, CVE-2017-10271 и CVE-2023-21839. Указанные недостатки безопасности применяются для получения первоначального доступа, а также непосредственной загрузки криптомайнера.

После успешного проникновения злоумышленники запускают скрипт PowerShell, который загружает первый этап загрузчика («wireguard2-3.exe»). Этот файл маскируется под легитимное приложение WireGuard VPN, но на самом деле запускает другой исполняемый файл («cvtres.exe») прямо в памяти с помощью DLL («Zxpus.dll»).

Этот исполняемый файл служит для получения загрузчика PureCrypter («Tixrgtluffu.dll»), который отправляет информацию о системе на удалённый сервер и создаёт запланированные задачи в системе для активации майнера, а также добавляет вредоносные файлы в исключения антивируса Microsoft Defender.

Командный сервер отвечает зашифрованным сообщением, содержащим конфигурационные данные для XMRig, после чего загрузчик извлекает и выполняет майнер с домена, контролируемого злоумышленниками. Сам майнер маскируется под легитимный бинарный файл Microsoft («AddinProcess.exe»).

Эксперты отмечают, что данный метод позволяет злоумышленникам эффективно скрываться от традиционных методов обнаружения и защиты. Использование бесфайловых техник затрудняет обнаружение и удаление вредоносного ПО.

Помимо использования уязвимостей в Oracle WebLogic Server, группа 8220 Gang также известна эксплуатацией других уязвимостей для достижения своих целей. Их методы постоянно совершенствуются, что делает атаки группы всё более изощренными и опасными.

Основной мишенью этих хакеров являются серверы с недостаточной защитой и старыми обновлениями, что делает их лёгкой добычей для злоумышленников. Компаниям рекомендуется тщательно проверять и обновлять свои системы безопасности, чтобы избежать подобных атак.