Investigadores de seguridad han proporcionado más información sobre una operación de minería de criptomonedas realizada por la banda 8220. Esta operación aprovecha vulnerabilidades conocidas en el Servidor Oracle WebLogic. Ahmed Mohamed Ibrahim, Shubham Singh y Sunil Bharti, investigadores de Trend Micro, detallaron que el grupo utiliza técnicas de ejecución sin archivos para evitar la detección. El actor, conocido como Water Sigbin, se aprovecha de vulnerabilidades como CVE-2017-3506, CVE-2017-10271 y CVE-2023-21839 para obtener acceso inicial y desplegar el minero.
Tras un punto de apoyo exitoso, el grupo utiliza un script de PowerShell para dejar caer un cargador de primera etapa que aparenta ser la aplicación de VPN de WireGuard. Este cargador, en realidad, lanza otro binario en la memoria a través de una DLL. Este ejecutable inyectado actúa como conducto para cargar el cargador PureCrypter que exfiltra información de hardware y realiza varias tareas, como ejecutar el minero y evadir la detección del Antivirus de Microsoft Defender.
Una vez que el servidor de comando y control responde con un mensaje encriptado que contiene los detalles de configuración, el cargador recupera y ejecuta el minero desde un dominio controlado por el atacante haciéndolo pasar por un binario legítimo de Microsoft.
Por otro lado, el equipo QiAnXin XLab reveló una nueva herramienta de instalación utilizada por la banda 8220 llamada k4spreader. Este malware está diseñado para aprovechar vulnerabilidades como Apache Hadoop YARN, JBoss y el Servidor Oracle WebLogic. Según la compañía, k4spreader está escrito en cgo e incluye funcionalidades de persistencia del sistema, descarga y actualización automática, así como la terminación de botnets rivales y la desactivación del firewall.
Esta información proporciona más detalles sobre las operaciones de minería de criptomonedas y la distribución de malware llevadas a cabo por estas bandas, lo que resalta la importancia de mantener actualizados los sistemas y parches de seguridad para prevenir estos ataques.
Vía The Hacker News
