研究人員近日發(fā)現(xiàn) 8220 組織正在利用 Log4Shell 漏洞攻擊 VMware Horizon 服務(wù)器����,以便后續(xù)進(jìn)行挖礦獲利�。受攻擊的目標(biāo)系統(tǒng)中包含韓國(guó)能源企業(yè),由于系統(tǒng)存在漏洞且未打補(bǔ)丁�,就被攻擊者集火攻擊。
(資料圖)
Log4Shell(CVE-2021-44228)是 Java 日志程序 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞�,攻擊者可以通過(guò)使日志中包含遠(yuǎn)程 Java 對(duì)象來(lái)執(zhí)行。
8220 團(tuán)伙
8220 團(tuán)伙是一個(gè)針對(duì) Windows 與 Linux 系統(tǒng)進(jìn)行攻擊的組織���,自從 2017 年以來(lái)一直保持活躍�。如果成功入侵系統(tǒng)��,8220 主要通過(guò)挖礦來(lái)進(jìn)行獲利。該團(tuán)伙不局限于特定地域��,而是針對(duì)全球發(fā)起攻擊�����。此前���,8220 也利用 Atlassian Confluence 服務(wù)器的漏洞 CVE-2022-26134 等進(jìn)行攻擊。
如果漏洞成功�����,攻擊者會(huì)執(zhí)行 PowerShell 命令來(lái)下載并執(zhí)行后續(xù)的 PowerShell 腳本����,最終安裝門羅幣礦機(jī)。
利用 Atlassian Confluence 漏洞執(zhí)行的 PowerShell 命令
Fortinet 的研究人員近日發(fā)現(xiàn) 8220 開始利用 Oracle Weblogic 服務(wù)器的漏洞安裝 ScrubCrypt��。ScrubCrypt 是使用 .NET 開發(fā)的惡意軟件���,也提供安裝其他惡意軟件的能力�。通常來(lái)說(shuō)����,ScrubCrypt 最終會(huì)安裝門羅幣礦機(jī)�����,這也是 8220 團(tuán)伙的最終目標(biāo)����。
利用 Oracle Weblogic 漏洞攻擊執(zhí)行的 PowerShell 命令
研究人員確認(rèn)����,8220 團(tuán)伙近期一直在利用 Oracle Weblogic 漏洞以及 Log4Shell 漏洞下載 ScrubCrypt,隨后通過(guò) ScrubCrypt 安裝門羅幣礦機(jī)���。
Log4Shell 攻擊
自從 2021 年 12 月被披露以來(lái)���,Log4Shell 漏洞已經(jīng)被廣泛利用。2022 年����,Lazarus 組織也利用該漏洞發(fā)起攻擊并傳播 NukeSped 惡意軟件。攻擊者針對(duì)未打補(bǔ)丁的 VMware Horizon 中存在的 log4j 漏洞�����,該產(chǎn)品是用于遠(yuǎn)程工作與云基礎(chǔ)架構(gòu)的虛擬桌面解決方案。
分析日志發(fā)現(xiàn)����,ws_tomcatservice.exe 進(jìn)程安裝了 8220 團(tuán)伙使用的門羅幣礦機(jī)。
通過(guò) ws_tomcatservice.exe 進(jìn)程執(zhí)行的 PowerShell 命令
沒(méi)有完整的網(wǎng)絡(luò)數(shù)據(jù)包�����,但從 VMware Horizon 的 ws_tomcatservice.exe 進(jìn)程執(zhí)行 PowerShell 命令與 8220 團(tuán)伙常用的攻擊方式來(lái)看���,很可能是通過(guò) Log4Shell 漏洞實(shí)現(xiàn)的攻擊。
PowerShell 命令執(zhí)行日志
ScrubCrypt 與 XMRig CoinMiner 分析
惡意軟件進(jìn)程樹
利用 Log4Shell 漏洞攻擊下載并執(zhí)行的 PowerShell 腳本���,腳本文件名為 bypass.ps1���。盡管惡意軟件的代碼有所不同,但文件名稱與功能基本類似���。
bypass.ps1 PowerShell 腳本
bypass.ps1 是帶混淆的 PowerShell 腳本�����,簡(jiǎn)單去混淆后如下所示:
PowerShell 腳本
腳本首先繞過(guò) AMSI���,隨后在 %TEMP%PhotoShop-Setup-2545.exe 路徑中創(chuàng)建并執(zhí)行內(nèi)嵌的惡意軟件��。PhotoShop-Setup-2545.exe 是由 .NET 開發(fā)的 Downloader 類惡意軟件��,會(huì)下載惡意代碼并將其注入 RegAsm.exe���。
.Net 惡意軟件
在 RegAsm.exe 進(jìn)程中注入并執(zhí)行的惡意軟件經(jīng)過(guò)混淆處理,但與 Fortinet 研究ScrubCrypt 的相似性來(lái)看�����,很可能是 ScrubCrypt 類型的惡意軟件���。用于攻擊的 ScrubCrypt 中包含 3 個(gè) C&C 的 URL 與 4 個(gè)端口(58001�、58002�、58003 和 58004)。
ScrubCrypt(RegAsm.exe)的 C&C URL
ScrubCrypt 連接到 C&C 服務(wù)器并下載其他惡意代碼����,實(shí)際中也發(fā)現(xiàn)了安裝門羅幣礦機(jī)的命令。
安裝 XMRig CoinMiner 的 PowerShell 命令
deliver1.exe 是用于下載并執(zhí)行注入的惡意軟件����,將 ScrubCrypt 保存在 MSBuild.exe 的內(nèi)部資源中����。該 ScrubCrypt 中包含 2 個(gè) C&C URL 與 4 個(gè)端口號(hào)(9090�、9091、9092 和 8444)�����。
ScrubCrypt(MSBuild.exe)的 C&C URL
惡意軟件下載
ScrubCrypt 會(huì)在注冊(cè)表中增加:執(zhí)行礦機(jī)時(shí)使用的配置數(shù)據(jù)(注入目標(biāo)進(jìn)程����、礦池地址���、錢包地址與礦機(jī)下載地址)�����、數(shù)據(jù)文件 plugin_3.dll��、plugin_4.dll���。
注冊(cè)表數(shù)據(jù)
plugin_4.dll 是一種經(jīng)過(guò)編碼的 .NET 惡意軟件,其主要功能是解碼 plugin_3.dll 文件。釋放礦機(jī)����,并將 plugin_3.dll 注入指定的良性進(jìn)程 AddInProcess.exe。
礦機(jī)注入的配置數(shù)據(jù)
攻擊者的門羅幣錢包地址與之前發(fā)現(xiàn)針對(duì) Atlassian Confluence 漏洞攻擊����、針對(duì) Oracle Weblogic 漏洞攻擊中所使用的門羅幣地址相同,8220 團(tuán)伙一直使用相同的錢包地址�����。
結(jié)論
8220 團(tuán)伙針對(duì)未打補(bǔ)丁的系統(tǒng)發(fā)起攻擊��,安裝門羅幣礦機(jī)進(jìn)行挖礦獲利����。該組織不僅針對(duì)存在漏洞的 Atlassian Confluence 發(fā)起攻擊,也針對(duì)存在 Log4Shell 漏洞的 VMware Horizon 發(fā)起攻擊�。
