Group Water Sigbin атакует Oracle WebLogic ради майнинга криптовалюты

Исследователи безопасности зафиксировали новую волну атак группировки Water Sigbin, также известной как 8220 Gang. Злоумышленники эксплуатируют уязвимости в Oracle WebLogic Server — CVE-2017-3506 и CVE-2023-21839 — чтобы установить на скомпрометированные серверы криптомайнер XMRig. Кампания примечательна многоступенчатой цепочкой загрузки и продуманными приёмами уклонения от обнаружения.

Как разворачивается атака

Точка входа — эксплуатация уязвимостей WebLogic, позволяющая выполнить на машине жертвы вредоносный PowerShell-скрипт. Он декодирует полезную нагрузку, закодированную в Base64, и запускает цепочку загрузчиков, которая в итоге доставляет лоадер PureCrypter и сам майнер XMRig.

Для сокрытия активности Water Sigbin применяет сразу несколько техник:

  • все компоненты защищены с помощью .NET Reactor — программы обфускации кода с механизмами анти-отладки;
  • вредонос использует бесфайловое выполнение — reflective DLL injection и process hollowing, благодаря чему код работает исключительно в памяти, не оставляя следов на диске;
  • XMRig маскируется под легитимные системные процессы, такие как cvtres.exe и AddinProcess.exe, чтобы не вызывать подозрений.

Техническая цепочка заражения

По данным Trend Micro, после первичного PowerShell-скрипта декодированный ответ сохраняется в реестре — в ветке HKEY_CURRENT_USER\SOFTWARE\. Далее события развиваются так:

  1. Декодированная нагрузка (файл wireguard2-3.exe) расшифровывает и через reflective injection загружает DLL второй стадии — Zxpus.dll.
  2. Zxpus.dll получает зашифрованный бинарник, расшифровывает его алгоритмом AES, распаковывает GZip и десериализует, чтобы получить конфигурацию следующего загрузчика.
  3. Загрузчик создаёт процесс cvtres.exe и внедряет в него следующую полезную нагрузку.
  4. cvtres.exe загружает DLL лоадера PureCrypter (Tixrgtluffu.dll).
  5. PureCrypter регистрируется на управляющем сервере (C2) и скачивает финальную нагрузку — XMRig.

Отдельно вредонос скачивает зашифрованный файл plugin3.dll, расшифровывает его алгоритмом TripleDES и распаковывает Gzip. Загрузчик создаёт новый процесс с именем AddinProcess.exe, имитирующий легитимный, и через process injection загружает в него XMRig.

Перед развёртыванием майнера малварь через WMI-запросы собирает данные о системе — идентификатор процессора, сведения о дисках, установленное антивирусное ПО и другую информацию. Всё это шифруется и отправляется на C2-сервер по адресу 89.185.85[.]102:9091 для идентификации жертвы.

XMRig — популярное открытое ПО для майнинга, работающее на разных операционных системах. В рамках кампании он отправляет запрос на подключение к пулу по адресу 217.182.205[.]238:8080 и использует кошелёк ZEPHYR2xf9vMHptpxP6VY4hHwTe94b2L5SGyp9Czg57U8DwRT3RQvDd37eyKxoFJUYJvP5ivBbiFCAMyaKWUe9aPZzuNoDXYTtj2Z.c4k.

Индикаторы компрометации

Хэши вредоносных файлов:

e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33 — Ransom_Blocker.R002C0XFC24
0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050 — TROJ_FRS.VSNTFH24
b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93 — TROJ_FRS.0NA104FH24
2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884 — Trojan.MSIL.EXNET.VSNW11F24

Сетевые индикаторы (IP-адреса и URL приведены в дефанговом виде):

89[.]169[.]52[.]37
http://87[.]121[.]105[.]232/bin.ps1
http://79[.]110[.]49[.]232/plugin3.dll

Рекомендации по защите

Trend Micro советует организациям придерживаться базовых практик кибергигиены:

  • своевременно устанавливать патчи для систем и ПО;
  • использовать многофакторную аутентификацию и другие строгие методы проверки подлинности;
  • регулярно проводить сканирование на уязвимости;
  • обучать сотрудников основам информационной безопасности;
  • применять решения класса endpoint detection and response для выявления подозрительной активности.

Эксплуатируя известные уязвимости WebLogic, применяя продвинутые техники уклонения и разворачивая XMRig, Water Sigbin в очередной раз подтвердила высокий технический уровень своих операций.

Источник: Cybersecurity News.