Исследователи безопасности зафиксировали новую волну атак группировки Water Sigbin, также известной как 8220 Gang. Злоумышленники эксплуатируют уязвимости в Oracle WebLogic Server — CVE-2017-3506 и CVE-2023-21839 — чтобы установить на скомпрометированные серверы криптомайнер XMRig. Кампания примечательна многоступенчатой цепочкой загрузки и продуманными приёмами уклонения от обнаружения.
Как разворачивается атака
Точка входа — эксплуатация уязвимостей WebLogic, позволяющая выполнить на машине жертвы вредоносный PowerShell-скрипт. Он декодирует полезную нагрузку, закодированную в Base64, и запускает цепочку загрузчиков, которая в итоге доставляет лоадер PureCrypter и сам майнер XMRig.
Для сокрытия активности Water Sigbin применяет сразу несколько техник:
- все компоненты защищены с помощью .NET Reactor — программы обфускации кода с механизмами анти-отладки;
- вредонос использует бесфайловое выполнение — reflective DLL injection и process hollowing, благодаря чему код работает исключительно в памяти, не оставляя следов на диске;
- XMRig маскируется под легитимные системные процессы, такие как cvtres.exe и AddinProcess.exe, чтобы не вызывать подозрений.
Техническая цепочка заражения
По данным Trend Micro, после первичного PowerShell-скрипта декодированный ответ сохраняется в реестре — в ветке HKEY_CURRENT_USER\SOFTWARE\. Далее события развиваются так:
- Декодированная нагрузка (файл wireguard2-3.exe) расшифровывает и через reflective injection загружает DLL второй стадии — Zxpus.dll.
- Zxpus.dll получает зашифрованный бинарник, расшифровывает его алгоритмом AES, распаковывает GZip и десериализует, чтобы получить конфигурацию следующего загрузчика.
- Загрузчик создаёт процесс cvtres.exe и внедряет в него следующую полезную нагрузку.
- cvtres.exe загружает DLL лоадера PureCrypter (Tixrgtluffu.dll).
- PureCrypter регистрируется на управляющем сервере (C2) и скачивает финальную нагрузку — XMRig.
Отдельно вредонос скачивает зашифрованный файл plugin3.dll, расшифровывает его алгоритмом TripleDES и распаковывает Gzip. Загрузчик создаёт новый процесс с именем AddinProcess.exe, имитирующий легитимный, и через process injection загружает в него XMRig.
Перед развёртыванием майнера малварь через WMI-запросы собирает данные о системе — идентификатор процессора, сведения о дисках, установленное антивирусное ПО и другую информацию. Всё это шифруется и отправляется на C2-сервер по адресу 89.185.85[.]102:9091 для идентификации жертвы.
XMRig — популярное открытое ПО для майнинга, работающее на разных операционных системах. В рамках кампании он отправляет запрос на подключение к пулу по адресу 217.182.205[.]238:8080 и использует кошелёк ZEPHYR2xf9vMHptpxP6VY4hHwTe94b2L5SGyp9Czg57U8DwRT3RQvDd37eyKxoFJUYJvP5ivBbiFCAMyaKWUe9aPZzuNoDXYTtj2Z.c4k.
Индикаторы компрометации
Хэши вредоносных файлов:
e6e69e85962a402a35cbc5b75571dab3739c0b2f3861ba5853dbd140bae4e4da
f4d11b36a844a68bf9718cf720984468583efa6664fc99966115a44b9a20aa33 — Ransom_Blocker.R002C0XFC24
0bf87b0e65713bf35c8cf54c9fa0015fa629624fd590cb4ba941cd7cdeda8050 — TROJ_FRS.VSNTFH24
b380b771c7f5c2c26750e281101873772e10c8c1a0d2a2ff0aff1912b569ab93 — TROJ_FRS.0NA104FH24
2e32c5cea00f8e4c808eae806b14585e8672385df7449d2f6575927537ce8884 — Trojan.MSIL.EXNET.VSNW11F24
Сетевые индикаторы (IP-адреса и URL приведены в дефанговом виде):
89[.]169[.]52[.]37
http://87[.]121[.]105[.]232/bin.ps1
http://79[.]110[.]49[.]232/plugin3.dll
Рекомендации по защите
Trend Micro советует организациям придерживаться базовых практик кибергигиены:
- своевременно устанавливать патчи для систем и ПО;
- использовать многофакторную аутентификацию и другие строгие методы проверки подлинности;
- регулярно проводить сканирование на уязвимости;
- обучать сотрудников основам информационной безопасности;
- применять решения класса endpoint detection and response для выявления подозрительной активности.
Эксплуатируя известные уязвимости WebLogic, применяя продвинутые техники уклонения и разворачивая XMRig, Water Sigbin в очередной раз подтвердила высокий технический уровень своих операций.
Источник: Cybersecurity News.