当前位置:首页 > 知识 >

【安全圈】Log4Shell漏洞持续威胁,挖矿风险加剧

漏洞

研究人员近日发现8220组织正在利用Log4Shell漏洞攻击VMware Horizon服务器,以便后续进行挖矿获利。受攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。

Log4Shell(CVE-2021-44228)是Java日志程序Log4j的远程代码执行漏洞,攻击者可以通过使日志中包含远程Java对象来执行。

8220团伙

8220团伙是一个针对Windows与Linux系统进行攻击的组织,自从2017年以来一直活跃。如果成功入侵系统,8220主要通过挖矿来获利。该团伙不局限于特定地域,而是全球范围内发起攻击。此前,8220也利用Atlassian Confluence服务器的漏洞CVE-2022-26134等进行攻击。

如果利用漏洞成功,攻击者会执行PowerShell命令来下载并执行后续的PowerShell脚本,最终安装门罗币矿机。

利用Atlassian Confluence漏洞执行的PowerShell命令

近日,Fortinet的研究人员发现8220开始利用Oracle Weblogic服务器的漏洞安装ScrubCrypt。ScrubCrypt是一种使用.NET开发的恶意软件,可以安装其他恶意软件。通常情况下,ScrubCrypt最终会安装门罗币矿机,这也是8220团伙的最终目标。

利用Oracle Weblogic漏洞攻击执行的PowerShell命令

研究人员确认,8220团伙最近一直在利用Oracle Weblogic漏洞和Log4Shell漏洞下载ScrubCrypt,并通过ScrubCrypt安装门罗币矿机。

Log4Shell攻击

自从2021年12月被披露以来,Log4Shell漏洞已经被广泛利用。2022年,Lazarus组织也利用该漏洞发起攻击并传播NukeSped恶意软件。攻击者针对未打补丁的VMware Horizon中存在的log4j漏洞,该产品是用于远程工作与云基础架构的虚拟桌面解决方案。

分析日志发现,ws_tomcatservice.exe进程安装了8220团伙使用的门罗币矿机。

通过ws_tomcatservice.exe进程执行的PowerShell命令

尽管没有完整的网络数据包,但根据VMware Horizon的ws_tomcatservice.exe进程执行PowerShell命令与8220团伙常用的攻击方式来看,很可能是通过Log4Shell漏洞进行的攻击。

PowerShell命令执行日志

ScrubCrypt与XMRigCoinMiner分析

恶意软件进程树

利用Log4Shell漏洞攻击下载并执行的PowerShell脚本,脚本文件名为bypass.ps1。尽管恶意软件的代码有所不同,但文件名称与功能基本类似。

bypass.ps1 PowerShell脚本

bypass.ps1是带有混淆的PowerShell脚本,去除混淆后如下所示:

PowerShell脚本

此脚本首先绕过AMSI,然后在%TEMP%PhotoShop-Setup-2545.exe路径中创建并执行内嵌的恶意软件。PhotoShop-Setup-2545.exe是以.NET开发的Downloader类恶意软件,它会下载恶意代码并将其注入RegAsm.exe。

.Net恶意软件

在RegAsm.exe进程中注入并执行的恶意软件已经过混淆处理,但与Fortinet研究ScrubCrypt的相似性来看,很可能是一种类似ScrubCrypt的恶意软件。该ScrubCrypt包含3个CC的URL和4个端口(58001、58002、58003和58004)。

ScrubCrypt(RegAsm.exe)的CC地址

ScrubCrypt连接到CC服务器并下载其他恶意代码,实际中也发现了安装门罗币矿机的命令。

安装XMRigCoinMiner的PowerShell命令

deliver1.exe是用于下载并执行注入的恶意软件,将ScrubCrypt保存在MSBuild.exe的内部资源中。该ScrubCrypt包含2个CC地址和4个端口号(9090、9091、9092和8444)。

ScrubCrypt(MSBuild.exe)的CC地址

恶意软件下载

ScrubCrypt在注册表中增加了执行矿机时使用的配置数据(注入目标进程、矿池地址、钱包地址和矿机下载地址)、数据文件plugin_3.dll和plugin_4.dll。

注册表数据

plugin_4.dll是一种经过编码的.NET恶意软件,它的主要功能是解码plugin_3.dll文件,释放矿机,并将plugin_3.dll注入到指定的良性进程AddInProcess.exe中。

矿机注入的配置数据

攻击者使用的门罗币钱包地址与之前针对Atlassian Confluence漏洞攻击和Oracle Weblogic漏洞攻击中使用的门罗币地址相同,8220团伙一直使用相同的钱包地址。

结论

8220团伙针对未打补丁的系统发起攻击,安装门罗币矿机进行挖矿获利。该组织不仅针对存在漏洞的Atlassian Confluence发起攻击,也针对存在Log4Shell漏洞的VMware Horizon发起攻击。

安全圈

网罗圈内热点,专注网络安全。

实时资讯,一手掌握!

好看就分享,有用就点个赞。

支持「安全圈」就点个三连吧!

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

来源:

猜你喜欢

关注我们

微信二维码

微信