研究人员近日发现8220组织正在利用Log4Shell漏洞攻击VMware Horizon服务器,以便后续进行挖矿获利。受攻击的目标系统中包含韩国能源企业,由于系统存在漏洞且未打补丁,就被攻击者集火攻击。
Log4Shell(CVE-2021-44228)是Java日志程序Log4j的远程代码执行漏洞,攻击者可以通过使日志中包含远程Java对象来执行。
8220团伙
8220团伙是一个针对Windows与Linux系统进行攻击的组织,自从2017年以来一直活跃。如果成功入侵系统,8220主要通过挖矿来获利。该团伙不局限于特定地域,而是全球范围内发起攻击。此前,8220也利用Atlassian Confluence服务器的漏洞CVE-2022-26134等进行攻击。
如果利用漏洞成功,攻击者会执行PowerShell命令来下载并执行后续的PowerShell脚本,最终安装门罗币矿机。
利用Atlassian Confluence漏洞执行的PowerShell命令
近日,Fortinet的研究人员发现8220开始利用Oracle Weblogic服务器的漏洞安装ScrubCrypt。ScrubCrypt是一种使用.NET开发的恶意软件,可以安装其他恶意软件。通常情况下,ScrubCrypt最终会安装门罗币矿机,这也是8220团伙的最终目标。
利用Oracle Weblogic漏洞攻击执行的PowerShell命令
研究人员确认,8220团伙最近一直在利用Oracle Weblogic漏洞和Log4Shell漏洞下载ScrubCrypt,并通过ScrubCrypt安装门罗币矿机。
Log4Shell攻击
自从2021年12月被披露以来,Log4Shell漏洞已经被广泛利用。2022年,Lazarus组织也利用该漏洞发起攻击并传播NukeSped恶意软件。攻击者针对未打补丁的VMware Horizon中存在的log4j漏洞,该产品是用于远程工作与云基础架构的虚拟桌面解决方案。
分析日志发现,ws_tomcatservice.exe进程安装了8220团伙使用的门罗币矿机。
通过ws_tomcatservice.exe进程执行的PowerShell命令
尽管没有完整的网络数据包,但根据VMware Horizon的ws_tomcatservice.exe进程执行PowerShell命令与8220团伙常用的攻击方式来看,很可能是通过Log4Shell漏洞进行的攻击。
PowerShell命令执行日志
ScrubCrypt与XMRigCoinMiner分析
恶意软件进程树
利用Log4Shell漏洞攻击下载并执行的PowerShell脚本,脚本文件名为bypass.ps1。尽管恶意软件的代码有所不同,但文件名称与功能基本类似。
bypass.ps1 PowerShell脚本
bypass.ps1是带有混淆的PowerShell脚本,去除混淆后如下所示:
PowerShell脚本
此脚本首先绕过AMSI,然后在%TEMP%PhotoShop-Setup-2545.exe路径中创建并执行内嵌的恶意软件。PhotoShop-Setup-2545.exe是以.NET开发的Downloader类恶意软件,它会下载恶意代码并将其注入RegAsm.exe。
.Net恶意软件
在RegAsm.exe进程中注入并执行的恶意软件已经过混淆处理,但与Fortinet研究ScrubCrypt的相似性来看,很可能是一种类似ScrubCrypt的恶意软件。该ScrubCrypt包含3个CC的URL和4个端口(58001、58002、58003和58004)。
ScrubCrypt(RegAsm.exe)的CC地址
ScrubCrypt连接到CC服务器并下载其他恶意代码,实际中也发现了安装门罗币矿机的命令。
安装XMRigCoinMiner的PowerShell命令
deliver1.exe是用于下载并执行注入的恶意软件,将ScrubCrypt保存在MSBuild.exe的内部资源中。该ScrubCrypt包含2个CC地址和4个端口号(9090、9091、9092和8444)。
ScrubCrypt(MSBuild.exe)的CC地址
恶意软件下载
ScrubCrypt在注册表中增加了执行矿机时使用的配置数据(注入目标进程、矿池地址、钱包地址和矿机下载地址)、数据文件plugin_3.dll和plugin_4.dll。
注册表数据
plugin_4.dll是一种经过编码的.NET恶意软件,它的主要功能是解码plugin_3.dll文件,释放矿机,并将plugin_3.dll注入到指定的良性进程AddInProcess.exe中。
矿机注入的配置数据
攻击者使用的门罗币钱包地址与之前针对Atlassian Confluence漏洞攻击和Oracle Weblogic漏洞攻击中使用的门罗币地址相同,8220团伙一直使用相同的钱包地址。
结论
8220团伙针对未打补丁的系统发起攻击,安装门罗币矿机进行挖矿获利。该组织不仅针对存在漏洞的Atlassian Confluence发起攻击,也针对存在Log4Shell漏洞的VMware Horizon发起攻击。
安全圈
网罗圈内热点,专注网络安全。
实时资讯,一手掌握!
好看就分享,有用就点个赞。
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
来源: