【安全圈】8220 利用 Log4Shell 漏洞進行挖礦。

漏洞

研究人員近日發現 8220 組織正在利用 Log4Shell 漏洞攻擊 VMware Horizon 服務器,以便後續進行挖礦獲利。

受攻擊的目標系統中包含韓國能源企業,由於系統存在漏洞且未打補丁,就被攻擊者集火攻擊。

Log4Shell《CVE-2021-44228》是 Java 日志程序 Log4j 的遠程代碼執行漏洞,攻擊者可以通過使日志中包含遠程 Java 對象來執行。

8220 團夥

8220 團夥是一個針對 Windows 與 Linux 系統進行攻擊的組織,自從 2017 年以來一直保持活躍。

如果成功入侵系統,8220 主要通過挖礦來進行獲利。

該團夥不局限於特定地域,而是針對全球發起攻擊。

此前,8220 也利用 Atlassian Confluence 服務器的漏洞 CVE-2022-26134 等進行攻擊。

如果漏洞成功,攻擊者會執行 PowerShell 命令來下載並執行後續的 PowerShell 腳本,最終安裝門羅幣礦機。

利用 Atlassian Confluence 漏洞執行的 PowerShell 命令

Fortinet 的研究人員近日發現 8220 開始利用 Oracle Weblogic 服務器的漏洞安裝 ScrubCrypt。

ScrubCrypt 是使用 .NET 開發的惡意軟件,也提供安裝其他惡意軟件的能力。

通常來說,ScrubCrypt 最終會安裝門羅幣礦機,這也是 8220 團夥的最終目標。

【安全圈】8220 利用 Log4Shell 漏洞進行挖礦。
利用 Oracle Weblogic 漏洞攻擊執行的 PowerShell 命令

研究人員確認,8220 團夥近期一直在利用 Oracle Weblogic 漏洞以及 Log4Shell 漏洞下載 ScrubCrypt,隨後通過 ScrubCrypt 安裝門羅幣礦機。

Log4Shell 攻擊

自從 2021 年 12 月被披露以來,Log4Shell 漏洞已經被廣泛利用。

2022 年,Lazarus 組織也利用該漏洞發起攻擊並傳播 NukeSped 惡意軟件。

攻擊者針對未打補丁的 VMware Horizon 中存在的 log4j 漏洞,該產品是用於遠程工作與雲基礎架構的虛擬桌面解決方案。

分析日志發現,ws_tomcatservice.exe 進程安裝了 8220 團夥使用的門羅幣礦機。


通過 ws_tomcatservice.exe 進程執行的 PowerShell 命令

沒有完整的網絡數據包,但從 VMware Horizon 的 ws_tomcatservice.exe 進程執行 PowerShell 命令與 8220 團夥常用的攻擊方式來看,很可能是通過 Log4Shell 漏洞實現的攻擊。


PowerShell 命令執行日志

ScrubCrypt 與 XMRig CoinMiner 分析


惡意軟件進程樹

利用 Log4Shell 漏洞攻擊下載並執行的 PowerShell 腳本,腳本文件名為 bypass.ps1。

盡管惡意軟件的代碼有所不同,但文件名稱與功能基本類似。


bypass.ps1 PowerShell 腳本

bypass.ps1 是帶混淆的 PowerShell 腳本,簡單去混淆後如下所示:


PowerShell 腳本

腳本首先繞過 AMSI,隨後在 %TEMP%PhotoShop-Setup-2545.exe 路徑中創建並執行內嵌的惡意軟件。

PhotoShop-Setup-2545.exe 是由 .NET 開發的 Downloader 類惡意軟件,會下載惡意代碼並將其註入 RegAsm.exe。


.Net 惡意軟件

在 RegAsm.exe 進程中註入並執行的惡意軟件經過混淆處理,但與 Fortinet 研究ScrubCrypt 的相似性來看,很可能是 ScrubCrypt 類型的惡意軟件。

用於攻擊的 ScrubCrypt 中包含 3 個 C&C 的 URL 與 4 個端口《58001、58002、58003 和 58004》。


ScrubCrypt《RegAsm.exe》的 C&C URL

ScrubCrypt 連接到 C&C 服務器並下載其他惡意代碼,實際中也發現了安裝門羅幣礦機的命令。


安裝 XMRig CoinMiner 的 PowerShell 命令

deliver1.exe 是用於下載並執行註入的惡意軟件,將 ScrubCrypt 保存在 MSBuild.exe 的內部資源中。

該 ScrubCrypt 中包含 2 個 C&C URL 與 4 個端口號《9090、9091、9092 和 8444》。


ScrubCrypt《MSBuild.exe》的 C&C URL


惡意軟件下載

ScrubCrypt 會在註冊表中增加:執行礦機時使用的配置數據《註入目標進程、礦池地址、錢包地址與礦機下載地址》、數據文件 plugin_3.dll、plugin_4.dll。


註冊表數據

plugin_4.dll 是一種經過編碼的 .NET 惡意軟件,其主要功能是解碼 plugin_3.dll 文件。

釋放礦機,並將 plugin_3.dll 註入指定的良性進程 AddInProcess.exe。


礦機註入的配置數據

攻擊者的門羅幣錢包地址與之前發現針對 Atlassian Confluence 漏洞攻擊、針對 Oracle Weblogic 漏洞攻擊中所使用的門羅幣地址相同,8220 團夥一直使用相同的錢包地址。

結論

8220 團夥針對未打補丁的系統發起攻擊,安裝門羅幣礦機進行挖礦獲利。

該組織不僅針對存在漏洞的 Atlassian Confluence 發起攻擊,也針對存在 Log4Shell 漏洞的 VMware Horizon 發起攻擊。

安全圈

網羅圈內熱點 專註網絡安全

實時資訊一手掌握!

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧!