8220 Gang Exploits Oracle WebLogic Server Flaws for Cryptocurrency Mining – OfficialSarkar
सुरक्षा शोधकर्ताओं ने क्रिप्टोकुरेंसी खनन ऑपरेशन पर अधिक प्रकाश डाला है 8220 गैंग Oracle WebLogic सर्वर में ज्ञात सुरक्षा खामियों का फायदा उठाकर।
ट्रेंड माइक्रो के शोधकर्ता अहमद मोहम्मद इब्राहिम, शुभम सिंह और सुनील भारती ने कहा, “खतरा फैलाने वाला व्यक्ति फाइल रहित निष्पादन तकनीक का उपयोग करता है, जिसमें DLL रिफ्लेक्टिव और प्रोसेस इंजेक्शन का उपयोग किया जाता है, जिससे मैलवेयर कोड केवल मेमोरी में चलता है और डिस्क-आधारित पहचान तंत्र से बचा जा सकता है।” कहा आज प्रकाशित एक नये विश्लेषण में यह बात कही गयी है।
साइबर सुरक्षा फर्म वॉटर सिगबिन नाम के वित्तीय रूप से प्रेरित अभिनेता पर नज़र रख रही है, जो ओरेकल वेबलॉजिक सर्वर में कमजोरियों को हथियार बनाने के लिए जाना जाता है जैसे सीवीई-2017-3506, सीवीई- 2017-10271और सीवीई-2023-21839 प्रारंभिक पहुंच के लिए और बहु-चरण लोडिंग तकनीक के माध्यम से माइनर पेलोड को छोड़ने के लिए।
एक सफल पैर जमाने के बाद PowerShell स्क्रिप्ट की तैनाती होती है जो पहले चरण के लोडर (“wireguard2-3.exe”) को छोड़ने के लिए जिम्मेदार होती है जो वैध WireGuard VPN अनुप्रयोग की नकल करता है, लेकिन, वास्तव में, DLL (“Zxpus.dll”) के माध्यम से मेमोरी में एक अन्य बाइनरी (“cvtres.exe”) लॉन्च करता है।
इंजेक्टेड एक्जीक्यूटेबल, PureCrypter लोडर (“Tixrgtluffu.dll”) को लोड करने के लिए एक माध्यम के रूप में कार्य करता है, जो बदले में, हार्डवेयर जानकारी को दूरस्थ सर्वर पर भेजता है और माइनर को चलाने के लिए निर्धारित कार्य बनाता है, साथ ही Microsoft Defender Antivirus से दुर्भावनापूर्ण फ़ाइलों को बाहर निकालता है।
प्रतिक्रिया में, कमांड-एंड-कंट्रोल (C2) सर्वर एक एन्क्रिप्टेड संदेश के साथ प्रतिक्रिया करता है जिसमें XMRig कॉन्फ़िगरेशन विवरण होता है, जिसके बाद लोडर हमलावर द्वारा नियंत्रित डोमेन से माइनर को पुनर्प्राप्त करता है और उसे “AddinProcess.exe,” एक वैध माइक्रोसॉफ्ट बाइनरी.
यह विकास तब हुआ जब QiAnXin XLab टीम ने 8220 गैंग द्वारा k4spreader नामक एक नए इंस्टॉलर टूल का विस्तृत विवरण दिया, जिसका उपयोग कम से कम फरवरी 2024 से सुनामी DDoS बॉटनेट और PwnRig माइनिंग प्रोग्राम को वितरित करने के लिए किया जाएगा।
मैलवेयर, जो वर्तमान में विकास के अधीन है और जिसका एक शेल संस्करण भी है, सुरक्षा खामियों का लाभ उठा रहा है जैसे अपाचे हाडोप यार्न, जेबॉसऔर Oracle WebLogic सर्वर का उपयोग संवेदनशील लक्ष्यों में घुसपैठ करने के लिए किया जाता है।
कंपनी ने कहा, “k4spreader को cgo में लिखा गया है, जिसमें सिस्टम दृढ़ता, डाउनलोडिंग और खुद को अपडेट करना, तथा निष्पादन के लिए अन्य मैलवेयर जारी करना शामिल है।” कहाउन्होंने कहा कि इसे फ़ायरवॉल को निष्क्रिय करने, प्रतिद्वंद्वी बॉटनेट (जैसे, किंसिंग) को समाप्त करने और परिचालन स्थिति को प्रिंट करने के लिए भी डिज़ाइन किया गया है।
Source: TheHackerNews