研究人員近日發(fā)現(xiàn) 8220 組織正在利用 Log4Shell 漏洞攻擊 VMware Horizon 服務器�,以便后續(xù)進行挖礦獲利。受攻擊的目標系統(tǒng)中包含韓國能源企業(yè)����,由于系統(tǒng)存在漏洞且未打補丁,就被攻擊者集火攻擊�。
(資料圖)
Log4Shell(CVE-2021-44228)是 Java 日志程序 Log4j 的遠程代碼執(zhí)行漏洞,攻擊者可以通過使日志中包含遠程 Java 對象來執(zhí)行�。
8220 團伙
8220 團伙是一個針對 Windows 與 Linux 系統(tǒng)進行攻擊的組織��,自從 2017 年以來一直保持活躍���。如果成功入侵系統(tǒng),8220 主要通過挖礦來進行獲利���。該團伙不局限于特定地域��,而是針對全球發(fā)起攻擊�。此前�����,8220 也利用 Atlassian Confluence 服務器的漏洞 CVE-2022-26134 等進行攻擊��。
如果漏洞成功�,攻擊者會執(zhí)行 PowerShell 命令來下載并執(zhí)行后續(xù)的 PowerShell 腳本,最終安裝門羅幣礦機����。
利用 Atlassian Confluence 漏洞執(zhí)行的 PowerShell 命令
Fortinet 的研究人員近日發(fā)現(xiàn) 8220 開始利用 Oracle Weblogic 服務器的漏洞安裝 ScrubCrypt。ScrubCrypt 是使用 .NET 開發(fā)的惡意軟件���,也提供安裝其他惡意軟件的能力�����。通常來說��,ScrubCrypt 最終會安裝門羅幣礦機��,這也是 8220 團伙的最終目標�����。
利用 Oracle Weblogic 漏洞攻擊執(zhí)行的 PowerShell 命令
研究人員確認�����,8220 團伙近期一直在利用 Oracle Weblogic 漏洞以及 Log4Shell 漏洞下載 ScrubCrypt����,隨后通過 ScrubCrypt 安裝門羅幣礦機��。
Log4Shell 攻擊
自從 2021 年 12 月被披露以來��,Log4Shell 漏洞已經(jīng)被廣泛利用�。2022 年,Lazarus 組織也利用該漏洞發(fā)起攻擊并傳播 NukeSped 惡意軟件。攻擊者針對未打補丁的 VMware Horizon 中存在的 log4j 漏洞�,該產(chǎn)品是用于遠程工作與云基礎架構(gòu)的虛擬桌面解決方案。
分析日志發(fā)現(xiàn)����,ws_tomcatservice.exe 進程安裝了 8220 團伙使用的門羅幣礦機。
通過 ws_tomcatservice.exe 進程執(zhí)行的 PowerShell 命令
沒有完整的網(wǎng)絡數(shù)據(jù)包����,但從 VMware Horizon 的 ws_tomcatservice.exe 進程執(zhí)行 PowerShell 命令與 8220 團伙常用的攻擊方式來看,很可能是通過 Log4Shell 漏洞實現(xiàn)的攻擊�����。
PowerShell 命令執(zhí)行日志
ScrubCrypt 與 XMRig CoinMiner 分析
惡意軟件進程樹
利用 Log4Shell 漏洞攻擊下載并執(zhí)行的 PowerShell 腳本�,腳本文件名為 bypass.ps1。盡管惡意軟件的代碼有所不同�����,但文件名稱與功能基本類似���。
bypass.ps1 PowerShell 腳本
bypass.ps1 是帶混淆的 PowerShell 腳本���,簡單去混淆后如下所示:
PowerShell 腳本
腳本首先繞過 AMSI�����,隨后在 %TEMP%PhotoShop-Setup-2545.exe 路徑中創(chuàng)建并執(zhí)行內(nèi)嵌的惡意軟件����。PhotoShop-Setup-2545.exe 是由 .NET 開發(fā)的 Downloader 類惡意軟件����,會下載惡意代碼并將其注入 RegAsm.exe。
.Net 惡意軟件
在 RegAsm.exe 進程中注入并執(zhí)行的惡意軟件經(jīng)過混淆處理����,但與 Fortinet 研究ScrubCrypt 的相似性來看,很可能是 ScrubCrypt 類型的惡意軟件���。用于攻擊的 ScrubCrypt 中包含 3 個 C&C 的 URL 與 4 個端口(58001���、58002��、58003 和 58004)��。
ScrubCrypt(RegAsm.exe)的 C&C URL
ScrubCrypt 連接到 C&C 服務器并下載其他惡意代碼�����,實際中也發(fā)現(xiàn)了安裝門羅幣礦機的命令。
安裝 XMRig CoinMiner 的 PowerShell 命令
deliver1.exe 是用于下載并執(zhí)行注入的惡意軟件�,將 ScrubCrypt 保存在 MSBuild.exe 的內(nèi)部資源中。該 ScrubCrypt 中包含 2 個 C&C URL 與 4 個端口號(9090����、9091、9092 和 8444)���。
ScrubCrypt(MSBuild.exe)的 C&C URL
惡意軟件下載
ScrubCrypt 會在注冊表中增加:執(zhí)行礦機時使用的配置數(shù)據(jù)(注入目標進程����、礦池地址��、錢包地址與礦機下載地址)��、數(shù)據(jù)文件 plugin_3.dll����、plugin_4.dll。
注冊表數(shù)據(jù)
plugin_4.dll 是一種經(jīng)過編碼的 .NET 惡意軟件��,其主要功能是解碼 plugin_3.dll 文件����。釋放礦機�����,并將 plugin_3.dll 注入指定的良性進程 AddInProcess.exe��。
礦機注入的配置數(shù)據(jù)
攻擊者的門羅幣錢包地址與之前發(fā)現(xiàn)針對 Atlassian Confluence 漏洞攻擊�、針對 Oracle Weblogic 漏洞攻擊中所使用的門羅幣地址相同����,8220 團伙一直使用相同的錢包地址。
結(jié)論
8220 團伙針對未打補丁的系統(tǒng)發(fā)起攻擊���,安裝門羅幣礦機進行挖礦獲利���。該組織不僅針對存在漏洞的 Atlassian Confluence 發(fā)起攻擊,也針對存在 Log4Shell 漏洞的 VMware Horizon 發(fā)起攻擊����。
