研究人員近日發(fā)現(xiàn) 8220 組織正在利用 Log4Shell 漏洞攻擊 VMware Horizon 服務(wù)器��,以便后續(xù)進(jìn)行挖礦獲利�����。受攻擊的目標(biāo)系統(tǒng)中包含韓國能源企業(yè)��,由于系統(tǒng)存在漏洞且未打補(bǔ)丁����,就被攻擊者集火攻擊��。
(資料圖)
Log4Shell(CVE-2021-44228)是 Java 日志程序 Log4j 的遠(yuǎn)程代碼執(zhí)行漏洞����,攻擊者可以通過使日志中包含遠(yuǎn)程 Java 對象來執(zhí)行。
8220 團(tuán)伙
8220 團(tuán)伙是一個針對 Windows 與 Linux 系統(tǒng)進(jìn)行攻擊的組織��,自從 2017 年以來一直保持活躍。如果成功入侵系統(tǒng)��,8220 主要通過挖礦來進(jìn)行獲利��。該團(tuán)伙不局限于特定地域����,而是針對全球發(fā)起攻擊��。此前����,8220 也利用 Atlassian Confluence 服務(wù)器的漏洞 CVE-2022-26134 等進(jìn)行攻擊。
如果漏洞成功�����,攻擊者會執(zhí)行 PowerShell 命令來下載并執(zhí)行后續(xù)的 PowerShell 腳本�����,最終安裝門羅幣礦機(jī)�。
利用 Atlassian Confluence 漏洞執(zhí)行的 PowerShell 命令
Fortinet 的研究人員近日發(fā)現(xiàn) 8220 開始利用 Oracle Weblogic 服務(wù)器的漏洞安裝 ScrubCrypt。ScrubCrypt 是使用 .NET 開發(fā)的惡意軟件��,也提供安裝其他惡意軟件的能力。通常來說����,ScrubCrypt 最終會安裝門羅幣礦機(jī),這也是 8220 團(tuán)伙的最終目標(biāo)���。
利用 Oracle Weblogic 漏洞攻擊執(zhí)行的 PowerShell 命令
研究人員確認(rèn)��,8220 團(tuán)伙近期一直在利用 Oracle Weblogic 漏洞以及 Log4Shell 漏洞下載 ScrubCrypt����,隨后通過 ScrubCrypt 安裝門羅幣礦機(jī)��。
Log4Shell 攻擊
自從 2021 年 12 月被披露以來��,Log4Shell 漏洞已經(jīng)被廣泛利用���。2022 年���,Lazarus 組織也利用該漏洞發(fā)起攻擊并傳播 NukeSped 惡意軟件。攻擊者針對未打補(bǔ)丁的 VMware Horizon 中存在的 log4j 漏洞��,該產(chǎn)品是用于遠(yuǎn)程工作與云基礎(chǔ)架構(gòu)的虛擬桌面解決方案���。
分析日志發(fā)現(xiàn)����,ws_tomcatservice.exe 進(jìn)程安裝了 8220 團(tuán)伙使用的門羅幣礦機(jī)。
通過 ws_tomcatservice.exe 進(jìn)程執(zhí)行的 PowerShell 命令
沒有完整的網(wǎng)絡(luò)數(shù)據(jù)包�����,但從 VMware Horizon 的 ws_tomcatservice.exe 進(jìn)程執(zhí)行 PowerShell 命令與 8220 團(tuán)伙常用的攻擊方式來看���,很可能是通過 Log4Shell 漏洞實現(xiàn)的攻擊。
PowerShell 命令執(zhí)行日志
ScrubCrypt 與 XMRig CoinMiner 分析
惡意軟件進(jìn)程樹
利用 Log4Shell 漏洞攻擊下載并執(zhí)行的 PowerShell 腳本��,腳本文件名為 bypass.ps1�。盡管惡意軟件的代碼有所不同,但文件名稱與功能基本類似���。
bypass.ps1 PowerShell 腳本
bypass.ps1 是帶混淆的 PowerShell 腳本��,簡單去混淆后如下所示:
PowerShell 腳本
腳本首先繞過 AMSI����,隨后在 %TEMP%PhotoShop-Setup-2545.exe 路徑中創(chuàng)建并執(zhí)行內(nèi)嵌的惡意軟件�����。PhotoShop-Setup-2545.exe 是由 .NET 開發(fā)的 Downloader 類惡意軟件,會下載惡意代碼并將其注入 RegAsm.exe��。
.Net 惡意軟件
在 RegAsm.exe 進(jìn)程中注入并執(zhí)行的惡意軟件經(jīng)過混淆處理����,但與 Fortinet 研究ScrubCrypt 的相似性來看,很可能是 ScrubCrypt 類型的惡意軟件��。用于攻擊的 ScrubCrypt 中包含 3 個 C&C 的 URL 與 4 個端口(58001����、58002、58003 和 58004)�。
ScrubCrypt(RegAsm.exe)的 C&C URL
ScrubCrypt 連接到 C&C 服務(wù)器并下載其他惡意代碼,實際中也發(fā)現(xiàn)了安裝門羅幣礦機(jī)的命令��。
安裝 XMRig CoinMiner 的 PowerShell 命令
deliver1.exe 是用于下載并執(zhí)行注入的惡意軟件�����,將 ScrubCrypt 保存在 MSBuild.exe 的內(nèi)部資源中���。該 ScrubCrypt 中包含 2 個 C&C URL 與 4 個端口號(9090����、9091、9092 和 8444)�����。
ScrubCrypt(MSBuild.exe)的 C&C URL
惡意軟件下載
ScrubCrypt 會在注冊表中增加:執(zhí)行礦機(jī)時使用的配置數(shù)據(jù)(注入目標(biāo)進(jìn)程����、礦池地址、錢包地址與礦機(jī)下載地址)��、數(shù)據(jù)文件 plugin_3.dll�����、plugin_4.dll��。
注冊表數(shù)據(jù)
plugin_4.dll 是一種經(jīng)過編碼的 .NET 惡意軟件�����,其主要功能是解碼 plugin_3.dll 文件��。釋放礦機(jī)�����,并將 plugin_3.dll 注入指定的良性進(jìn)程 AddInProcess.exe��。
礦機(jī)注入的配置數(shù)據(jù)
攻擊者的門羅幣錢包地址與之前發(fā)現(xiàn)針對 Atlassian Confluence 漏洞攻擊�、針對 Oracle Weblogic 漏洞攻擊中所使用的門羅幣地址相同,8220 團(tuán)伙一直使用相同的錢包地址����。
結(jié)論
8220 團(tuán)伙針對未打補(bǔ)丁的系統(tǒng)發(fā)起攻擊,安裝門羅幣礦機(jī)進(jìn)行挖礦獲利��。該組織不僅針對存在漏洞的 Atlassian Confluence 發(fā)起攻擊�,也針對存在 Log4Shell 漏洞的 VMware Horizon 發(fā)起攻擊。
