研究人員近日發(fā)現(xiàn) 8220 組織正在利用 Log4Shell 漏洞攻擊 VMware Horizon 服務(wù)器,以便后續(xù)進(jìn)行挖礦獲利。受攻擊的目標(biāo)系統(tǒng)中包含韓國能源企業(yè),由于系統(tǒng)存在漏洞且未打補(bǔ)丁,就被攻擊者集火攻擊。
(資料圖)
Log4Shell(CVE-2021-44228)是 Java 日志程序 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞,攻擊者可以通過使日志中包含遠(yuǎn)程 Java 對(duì)象來執(zhí)行。
8220 團(tuán)伙8220 團(tuán)伙是一個(gè)針對(duì) Windows 與 Linux 系統(tǒng)進(jìn)行攻擊的組織,自從 2017 年以來一直保持活躍。如果成功入侵系統(tǒng),8220 主要通過挖礦來進(jìn)行獲利。該團(tuán)伙不局限于特定地域,而是針對(duì)全球發(fā)起攻擊。此前,8220 也利用 Atlassian Confluence 服務(wù)器的漏洞 CVE-2022-26134 等進(jìn)行攻擊。
如果漏洞成功,攻擊者會(huì)執(zhí)行 PowerShell 命令來下載并執(zhí)行后續(xù)的 PowerShell 腳本,最終安裝門羅幣礦機(jī)。
利用 Atlassian Confluence 漏洞執(zhí)行的 PowerShell 命令
Fortinet 的研究人員近日發(fā)現(xiàn) 8220 開始利用 Oracle Weblogic 服務(wù)器的漏洞安裝 ScrubCrypt。ScrubCrypt 是使用 .NET 開發(fā)的惡意軟件,也提供安裝其他惡意軟件的能力。通常來說,ScrubCrypt 最終會(huì)安裝門羅幣礦機(jī),這也是 8220 團(tuán)伙的最終目標(biāo)。
利用 Oracle Weblogic 漏洞攻擊執(zhí)行的 PowerShell 命令
研究人員確認(rèn),8220 團(tuán)伙近期一直在利用 Oracle Weblogic 漏洞以及 Log4Shell 漏洞下載 ScrubCrypt,隨后通過 ScrubCrypt 安裝門羅幣礦機(jī)。
Log4Shell 攻擊自從 2021 年 12 月被披露以來,Log4Shell 漏洞已經(jīng)被廣泛利用。2022 年,Lazarus 組織也利用該漏洞發(fā)起攻擊并傳播 NukeSped 惡意軟件。攻擊者針對(duì)未打補(bǔ)丁的 VMware Horizon 中存在的 log4j 漏洞,該產(chǎn)品是用于遠(yuǎn)程工作與云基礎(chǔ)架構(gòu)的虛擬桌面解決方案。
分析日志發(fā)現(xiàn),ws_tomcatservice.exe 進(jìn)程安裝了 8220 團(tuán)伙使用的門羅幣礦機(jī)。
通過 ws_tomcatservice.exe 進(jìn)程執(zhí)行的 PowerShell 命令
沒有完整的網(wǎng)絡(luò)數(shù)據(jù)包,但從 VMware Horizon 的 ws_tomcatservice.exe 進(jìn)程執(zhí)行 PowerShell 命令與 8220 團(tuán)伙常用的攻擊方式來看,很可能是通過 Log4Shell 漏洞實(shí)現(xiàn)的攻擊。
PowerShell 命令執(zhí)行日志
ScrubCrypt 與 XMRig CoinMiner 分析惡意軟件進(jìn)程樹
利用 Log4Shell 漏洞攻擊下載并執(zhí)行的 PowerShell 腳本,腳本文件名為 bypass.ps1。盡管惡意軟件的代碼有所不同,但文件名稱與功能基本類似。
bypass.ps1 PowerShell 腳本
bypass.ps1 是帶混淆的 PowerShell 腳本,簡(jiǎn)單去混淆后如下所示:
PowerShell 腳本
腳本首先繞過 AMSI,隨后在 %TEMP%PhotoShop-Setup-2545.exe 路徑中創(chuàng)建并執(zhí)行內(nèi)嵌的惡意軟件。PhotoShop-Setup-2545.exe 是由 .NET 開發(fā)的 Downloader 類惡意軟件,會(huì)下載惡意代碼并將其注入 RegAsm.exe。
.Net 惡意軟件
在 RegAsm.exe 進(jìn)程中注入并執(zhí)行的惡意軟件經(jīng)過混淆處理,但與 Fortinet 研究ScrubCrypt 的相似性來看,很可能是 ScrubCrypt 類型的惡意軟件。用于攻擊的 ScrubCrypt 中包含 3 個(gè) C&C 的 URL 與 4 個(gè)端口(58001、58002、58003 和 58004)。
ScrubCrypt(RegAsm.exe)的 C&C URL
ScrubCrypt 連接到 C&C 服務(wù)器并下載其他惡意代碼,實(shí)際中也發(fā)現(xiàn)了安裝門羅幣礦機(jī)的命令。
安裝 XMRig CoinMiner 的 PowerShell 命令
deliver1.exe 是用于下載并執(zhí)行注入的惡意軟件,將 ScrubCrypt 保存在 MSBuild.exe 的內(nèi)部資源中。該 ScrubCrypt 中包含 2 個(gè) C&C URL 與 4 個(gè)端口號(hào)(9090、9091、9092 和 8444)。
ScrubCrypt(MSBuild.exe)的 C&C URL
惡意軟件下載
ScrubCrypt 會(huì)在注冊(cè)表中增加:執(zhí)行礦機(jī)時(shí)使用的配置數(shù)據(jù)(注入目標(biāo)進(jìn)程、礦池地址、錢包地址與礦機(jī)下載地址)、數(shù)據(jù)文件 plugin_3.dll、plugin_4.dll。
注冊(cè)表數(shù)據(jù)
plugin_4.dll 是一種經(jīng)過編碼的 .NET 惡意軟件,其主要功能是解碼 plugin_3.dll 文件。釋放礦機(jī),并將 plugin_3.dll 注入指定的良性進(jìn)程 AddInProcess.exe。
礦機(jī)注入的配置數(shù)據(jù)
攻擊者的門羅幣錢包地址與之前發(fā)現(xiàn)針對(duì) Atlassian Confluence 漏洞攻擊、針對(duì) Oracle Weblogic 漏洞攻擊中所使用的門羅幣地址相同,8220 團(tuán)伙一直使用相同的錢包地址。
結(jié)論8220 團(tuán)伙針對(duì)未打補(bǔ)丁的系統(tǒng)發(fā)起攻擊,安裝門羅幣礦機(jī)進(jìn)行挖礦獲利。該組織不僅針對(duì)存在漏洞的 Atlassian Confluence 發(fā)起攻擊,也針對(duì)存在 Log4Shell 漏洞的 VMware Horizon 發(fā)起攻擊。
標(biāo)簽:
